27 Nov 2018
protecting your customers is more than just building a bigger firewall

Le monde est-il complètement chamboulé ? Confiance, paradoxe et cryptage numériques

Gagner la confiance d’un client est une récompense qui ne se gagne qu’après de nombreuses années d’attention à votre marque, de service irréprochable et de qualité de produit. Et un client en confiance est un client loyal sur lequel vous pouvez compter pour travailler avec vous en toutes circonstances, peu importe la situation.

N’est-ce pas ?

Pas tout à fait.

Lorsqu’il s’agit de gagner la confiance du public à l’égard du numérique, les méthodes traditionnelles peuvent être ébranlées rapidement. Curieusement, par opposition aux relations précieuses hors ligne que vous entretenez avec tant de soin, acquérir la confiance dans le numérique est un jeu d’enfant, où les utilisateurs sont plus susceptibles de partager avec vous plus de détails personnels plutôt qu’une personne dont ils se font la complice. En fait, selon une étude d’Echoworx, l’utilisateur moyen ne prend que 30 secondes pour évaluer la sécurité d’un courriel avant d’envoyer ses données les plus personnelles.

Ça a l’air sympa ? Ça l’est effectivement. Peut-être même un peu trop – puisque la facilité pour inciter les clients à faire confiance à votre marque en ligne s’accompagne d’une énorme responsabilité dont le prix est trop élevé pour les personnes non préparées au numérique. Et vous n’êtes qu’à une erreur de les perdre à jamais – avec 80 % des clients qui envisagent de quitter votre marque après une brèche au niveau de la sécurité.

Donc, étant donné que votre organisation investit tant d’argent et de temps à bâtir son image de marque, pourquoi prendre le risque de ne pas protéger de façon adéquate les données sensibles pour éviter que tout ne s’écroule ? C’est là que les investissements préventifs dans l’infrastructure de cyber sécurité commencent soudainement à prendre tout leur sens – dans le sens organisationnel du terme.

Dans le passé, la cybersécurité était généralement perçue comme une question relevant davantage de la sphère interne. En termes simples, le mantra était le suivant : si vous empêchez les méchants d’entrer, l’argent reste à la banque. Mais, compte tenu de la perspective actuelle, centrée sur la clientèle, sur la façon de fournir des services numériques et des menaces réelles que représentent les attaques ransomware, cette conception a évolué vers un problème organisationnel – une crise touchant les marques.

Dans ce cas, comment éviter de perdre vos clients ?

Facile : Il faut les protéger.

Et protéger vos clients, c’est bien plus que mettre en place un pare-feu plus important. Vous devez également tenir compte des données sensibles qui sortent de votre parc informatique cloisonné. Alors que le cryptage est un moyen efficace de sécuriser vos communications, les solutions peu pratiques font passer vos messages pour du spam – au détriment de l’utilisateur final ou du client, ce qui va à l’encontre du but recherché.

Les messages cryptés sécurisés doivent avoir un aspect authentique et être flexibles pour répondre aux besoins de votre clientèle. L’image de marque, les langues et tout autre détail propre à chaque entreprise devraient être personnalisables de manière à ne pas affecter l’expérience utilisateur. Cela permet non seulement d’éliminer la confusion (quelque chose qui plaît aux fraudeurs), mais c’est aussi simplement un bon service pour les clients.

Vous devez également envisager d’offrir plusieurs méthodes de transmission pour répondre aux différents besoins des clients. Par exemple, vous souhaitez parfois crypter un document, pas un message entier. Vous pouvez rechercher une méthode de transmission qui permet le cryptage des pièces jointes uniquement.

Plus vos messages cryptés reproduisent l’aspect et la convivialité de vos communications régulières, sans sacrifier l’expérience utilisateur, vos clients accorderont davantage leur confiance aux interactions en lignes avec vous. Et plus vous les protégez, moins vous risquez de subir une intrusion catastrophique. C’est ainsi qu’investir dans la confidentialité des données est non seulement bon pour protéger votre infrastructure organisationnelle, mais aussi pour votre entreprise, votre marque et tout simplement pour un bon service client.

Par Lorena Magee, vice-présidente du marketing chez Echoworx

27 Nov 2018
TLS encrypted delivery

Est-ce que le TLS est une solution adéquate pour les courriels sécurisés ?

Lorsqu’il s’agit de recueillir des données sensibles des clients, vous ne pouvez tout simplement pas vous permettre de prendre le moindre risque. Vos clients vous font confiance et vous devez les protéger, ainsi que leurs données les plus personnelles. Mais, bien qu’il soit important de protéger votre périmètre numérique, votre entreprise doit également s’assurer que les données sensibles restent sécurisées pendant le transport.

Une des méthodes pour y parvenir est d’utiliser une solution de cryptage TLS. Mais qu’est-ce que le TLS exactement ? Comment fonctionne-t-elle ? Et quand est-ce que c’est assez bon pour les courriels sécurisés ?

Voici ce que vous devez savoir sur le TLS :

Qu’est-ce que TLS ?

En termes plus simples, TLS (Transport Layer Security) est une méthode de cryptage de la connexion entre deux parties communiquant sur Internet – pensez à un tunnel crypté. TLS peut être appliqué au courrier électronique pour éviter que des yeux indiscrets puissent voir les messages en cours de transmission – ou accéder aux données transmises entre un utilisateur et un site Web. La facilité de ce type de cryptage des messages en fait l’un des modes de transmission les plus populaires.

Quand faut-il accroître la sécurité des messages ?

Le TLS est l’une des méthodes les plus simples et les plus simples pour transmettre des messages sécurisés. Mais est-il assez sûr ? Cela dépend – à vous de nous le dire.

Avez-vous accès à d’autres méthodes de cryptage si une connexion TLS n’est pas disponible ? Quels sont exactement vos besoins en matière de sécurité ? Vous vous méfiez des sociétés tierces, comme Google via Gmail, qui scannent votre correspondance ? Êtes-vous préoccupé par les Attaques de l’homme du milieu « man-in-the-middle », où une connexion sécurisée est compromise ? Ce ne sont là que quelques-unes des questions auxquelles vous devez répondre pour déterminer si le TLS est suffisamment sécurisé pour vous.

Que faire pour renforcer la sécurité des messages ?

Bien que les messages standards avec un cryptage TLS aient leurs avantages, cette méthode de transfert ne répond pas toujours aux besoins de chacun de vos clients. C’est pourquoi Echoworx OneWorld va plus loin en offrant automatiquement un plus grand nombre de méthodes de cryptage de la transmission. OneWorld offre également de la flexibilité au sein de l’environnement TLS – avec la possibilité de créer des politiques spécifiques pour l’utilisation de TLS et des pieds de page de courriel de marque signalant que le message a été transmis de façon sécurisée.

Existe-t-il des alternatives sécurisées au TLS ?

Dans les cas où TLS n’est pas une option souhaitable, vous devez disposer d’autres options – pour vous assurer qu’aucun message n’est envoyé sans cryptage ou dans un environnement compromis. Par ailleurs, il existe une variété d’autres options de transmission sécurisée, allant des méthodes de cryptage à clé publique, comme S/MIME et PGP, aux portails Web protégés.

La plateforme de cryptage OneWorld d’Echoworx offre toutes ces options, ainsi que des pièces jointes cryptées. Et comme OneWorld vérifie si le TLS est disponible avant le transfert, les messages sensibles ne sont jamais envoyés non cryptés.

Consultez plus de méthodes de transmission de messages sécurisés.

Par Christian Peel, VP Ingénierie, Echoworx

15 Nov 2018
Get ready for PIPEDA

ÊTES-VOUS PRÊT POUR LA LOI CANADIENNE SUR LA DÉCLARATION OBLIGATOIRE DES ATTEINTES À LA SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS?

Avec l’introduction de nouvelles règles en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) (en anglais : PIPEDA) du Canada, faire des excuses pour une fuite de données est désormais insuffisant. À compter de novembre 2018, toutes les atteintes à la protection des données concernant des données canadiennes de nature personnelle devront être signalées et les parties concernées devront en être avisées.

Mais à qui la LPRPDE (PIPEDA) s’applique-t-elle ?

La LPRPDE est la loi fédérale canadienne sur la protection des renseignements personnels pour les organisations du secteur privé. Autrement dit, cette loi s’applique à tous les renseignements personnels recueillis, utilisés ou divulgués dans le cadre d’activités commerciales lorsque vous faites affaire avec le Canada. En vertu des nouvelles règles sur les atteintes à la protection des données, si l’une ou l’autre de ces données personnelles fait l’objet d’une fuite, un rapport doit être déposé auprès du Commissariat à la protection de la vie privée du Canada, un dossier décrivant cette atteinte doit être rédigé et toute personne concernée doit être avisée que leurs données ont été compromises.

Dans la lignée de l’Europe en matière de protection de la vie privée

Les mises à jour avec la LPRPDE font suite au GDPR de l’Union européenne, qui a été lancé en mai dernier. Bien que les pratiques canadiennes actuelles en matière de protection de la vie privée répondent aux exigences actuelles du GDPR, ces règles supplémentaires représentent une garantie proactive à mesure que les règles européennes continueront à se durcir au cours des prochaines années. Ils sont également conçus pour aider les entreprises canadiennes à maintenir leur compétitivité en Europe – et pour éviter des amendes considérables.

Et ces nouveaux changements à la LPRPDE ne sont pas sans conséquence !

En plus des préjudices causés à la marque et des poursuites possibles, les infractions à la LPRPDE sont maintenant passibles d’amendes pouvant atteindre 100 000 $. Bien qu’elles ne soient pas aussi élevées que les amendes écrasantes de plusieurs millions de dollars imposées par le GDPR, les pénalités sont suffisamment élevées pour faire respecter la loi.

Alors, comment faire pour rester en conformité ?

Une protection adéquate des données personnelles sensibles est plus facile à dire qu’à faire– nécessitant souvent une approche pluridimensionnelle. Afin de vous conformer aux nouvelles règles de la LPRPDE, vous devez prendre des mesures proactives pour aider à prévenir une atteinte à la vie privée – cela comprend la protection des données qui quittent votre système. De plus, le cryptage des données sensibles est un indicateur clé qui démontre que l’information a été adéquatement protégée en vertu de toute réglementation ou loi sur la protection de la vie privée.

Voici 10 façons de sécuriser les données sensibles en cours de transmission.

Alex Loo, vice-président des opérations chez Echoworx

12 Nov 2018
Encryption shouldnt be cryptic

LE CRYPTAGE NE DEVRAIT PAS ÊTRE UNE EXPÉRIENCE ÉNIGMATIQUE !

Cryptage, cryptage, et encore plus de cryptage – le mot à la mode dans le domaine de la sécurité dans la bouche de tout un chacun. Dans un paysage numérique de plus en plus périlleux, la protection de vos données par des algorithmes totalement sécurisés semble être une stratégie logique, n’est-ce pas ?

Exactement.

Mais prendre la décision de crypter les courriels confidentiels qui quittent votre réseau sécurisé, c’est bien plus que de simplement crypter les données.  Les algorithmes ne font pas la différence lorsqu’il s’agit de comparer différentes solutions de messagerie sécurisée.  Vous pouvez trouver le protocole de cryptage 2048 bits RSA, 256 bits AES, dans les signatures SHA2 de presque tous les produits de sécurité modernes.

Le composant de la technologie qui effectue le cryptage et le décryptage est (la plupart du temps au moins) solide et prévisible.  Mais au-dessus de cette sécurité de base se trouve le sujet le plus intéressant.  Le contrôle des courriels à crypter, les différents types de transmission, la simplicité de l’enregistrement, l’apparence (appelée «  branding ») des courriels et du site Web, sont les véritables différentiateurs d’une solution de courriel sécuritaire de première classe.

En tant que Responsable de l’engagement client chez Echoworx, un leader reconnu dans le domaine des communications numériques sécurisées, il est de mon devoir d’aider les entreprises à comprendre comment le cryptage s’intègre à leur modèle de gestion. Et pour moi, cela commence par les aider à créer une expérience de service complète et transparente pour leurs clients.

Lorsque je suis amené à travailler avec une nouvelle entreprise, un peu de temps est toujours nécessaire pour aborder les aspects fondamentaux de la sécurité de la plate-forme.  Cependant, vous serez peut-être surpris d’apprendre que beaucoup plus de temps est consacré à peaufiner l’expérience client pour répondre aux objectifs et aux attentes de l’entreprise.  Le courrier électronique sécurisé devient partie intégrante de la stratégie de communication de toute l’entreprise.  Il doit présenter un aspect authentique et utiliser des expressions et une terminologie qui correspondent au site Web et au contenu publicitaire de l’entreprise.

Il est également essentiel de tenir compte de la diversité des destinataires du courrier électronique sécurisé.  Une grand-mère à la maison avec un minimum d’expérience en informatique qui a besoin que tout lui soit expliqué en détail, par opposition à une technophile avisée de la génération du millénaire qui a des exigences en efficacité et automatisation.  La même expérience de messagerie sécurisée est utilisée pour les deux, donc il vaut mieux qu’elle ne soit pas une source d’aliénation pour personne !

Vos clients sont tous uniques, mais ils ont tous besoin de vous confier leurs données les plus personnelles, et ils vous quitteront si vous les perdez. Un récent sondage Echoworx, par exemple, a révélé que 80 % des clients envisagent de quitter une marque après une atteinte à leurs données. Ce n’est pas un chiffre négligeable.

Alors, comment pouvons-nous obtenir ce mélange parfait de courriels sécurisés tout en étant faciles à lire et à envoyer ?

Les employés de votre entreprise ne veulent pas d’étapes additionnelles ou de systèmes séparés.  Si c’est gênant, ils ne l’utiliseront pas.  Heureusement, votre réseau d’entreprise est déjà sécurisé par des pare-feu, des contrôles d’accès et une sécurité native sur votre serveur de messagerie.  Laissez donc le cryptage intervenir au moment où le courriel est sur le point de quitter votre réseau (communément appelé la « passerelle » (gateway) ou « frontière » (boundary).

C’est au destinataire de travailler avec la version cryptée de ce courriel, et la meilleure façon de les satisfaire est de l’envoyer dans un format qu’ils comprendront. Un partenaire commercial doit recevoir un cryptage transparent (appelé TLS), tandis qu’un client recevant un relevé mensuel doit avoir une pièce jointe PDF sécurisée.  Une banque européenne peut exiger des courriels PGP puisque les employés ont un logiciel PGP sur leur ordinateur de bureau.  La plate-forme de messagerie sécurisée doit s’en rendre compte en fonction des politiques que vous définissez lors de la personnalisation initiale du service.

Si vous faites des affaires à un niveau international, vous devez également connaître les lois et les règlements de la juridiction locale. Dans notre monde post-GDPR, vous savez qu’il est important de savoir où et comment vous stockez les données de vos clients. Mais n’oubliez pas de tenir compte de la façon dont vos communications sont transmises dans de nombreux pays non anglophones.  Voici un autre exemple de cette nouvelle couche de convivialité qui se retrouve dans la partie supérieure du cryptage en tant que tel.

Vous voulez que vos clients se sentent à l’aise avec vous et qu’ils puissent envoyer des informations sensibles par des canaux cryptés. Un client confus est susceptible de douter de la validité d’un message sécurisé et peut être plus exposé aux attaques frauduleuses. Investir dans la confidentialité des données n’est pas seulement bon pour votre marque, c’est aussi un bon service pour votre clientèle.

Quand c’est bien fait, c’est « c’est clair et simple ! »

Par Sarah Happé, Responsable de l’engagement client,  chez Echoworx

25 Oct 2018
Moving PGP to the cloud

VOUS MIGREZ VOTRE PGP VERS LE CLOUD ? VOICI CE QUE VOUS DEVEZ SAVOIR

Est-ce que le cryptage PGP est un élément dans votre stratégie de messagerie sécurisée ? Est-ce que vous hébergez actuellement ce système sur place ? Avez-vous déjà pensé à déplacer le cryptage de vos e-mails PGP vers le cloud ? Cela peut sembler fastidieux, mais, avec les outils et les services appropriés, le passage vers le cloud est un investissement à considérer pour vous et vos clients.

Un système PGP installé sur site est gourmand au niveau de la consommation de ressources et nécessite l’installation de logiciels sur votre poste de travail et vos serveurs. La charge de travail de votre service informatique peut être considérable – la migration vers le cloud peut considérablement soulager votre personnel.

Voici quelques points à considérer si vous songez à déménager :

Le cryptage des courriels ne doit pas seulement se limiter à un système acceptable.

Nous avons la responsabilité de protéger les messages sensibles que nous envoyons, et nous devons le faire d’une manière qui n’entrave pas nos activités.

Une solution efficace de cryptage de courriels dispose de cinq qualités principales :

  • Il est simple à mettre en œuvre
  • Il peut s’adapter à des demandes croissantes et à des augmentations imprévues des volumes de courriels.
  • Il est doté de nombreuses fonctionnalités, basé sur des normes et à jour, et supporte les technologies de cryptage les plus utilisées actuellement.
  • Il est conforme aux réglementations en vigueur, de sorte que les messages envoyés par l’UE, par exemple, ne sont pas stockés ou envoyés aux États-Unis ou dans d’autres pays qui pourraient compromettre le respect des règles du GDPR.
  • Il est opéré de façon sécurisée par un prestataire de confiance, soucieux de la sécurité.

Les systèmes en place ne devraient pas vous empêcher de migrer vers le cloud

La migration d’un système PGP installé sur place vers le cloud n’est pas seulement possible, ces systèmes existants peuvent également être migrés sans interruption, ce qui est un  aspect professionnel essentiel à considérer si votre entreprise envoie quotidiennement un grand nombre de messages sécurisés. Et vous avez accès à des méthodes de transmission sécurisées additionnelles, comme la possibilité d’envoyer des messages via un portail Web, et à des fonctions supplémentaires, comme la possibilité de personnaliser des messages avec un cryptage personnalisé pour la marque.

Gestion des clés de façon automatisée.

Selon la 13e étude sur le cryptage commanditée par Thales à l’Institut Ponemon, la gestion des clés demeure un problème majeur pour 57 % des entreprises. Et bon nombre de ces établissements indiquent qu’ils continuent de gérer manuellement leurs processus clés. Ce n’est pas une nouvelle statistique. En fait, la gestion des clés est demeurée un problème récurrent d’une année à l’autre ! La migration vers le cloud vous permet de simplifier votre processus de gestion des clés– et de l’automatiser.

Pourquoi utiliser la sécurité en tant que service ?

Dans le contexte actuel, les entreprises doivent s’adapter rapidement à l’évolution constante de la demande. Les menaces en matière de sécurité évoluent en permanence et la technologie continue de se métamorphoser de façon fulgurante. De nouveaux développements tels que les technologies informatiques mobiles, l’Internet des objets, le logiciel en tant que service et l’infrastructure en tant que service ouvrent la voie à des changements fondamentaux dans le mode opératoire des entreprises.

Travailler avec un prestataire de services de sécurité cloud peut apporter de nombreux avantages. Sheila Jordan, DSI de Symantec, par exemple, souligne que si les investissements informatiques et technologiques peuvent être utilisés pour assurer le fonctionnement et la croissance d’une entreprise, la liste des tâches à accomplir sera toujours supérieure aux ressources et fonds disponibles. L’informatique est souvent perçue comme un moyen facile de réduire les coûts, et en réponse, les DSI : « doivent donner la priorité aux demandes qui ont le plus de répercussions directes sur la rentabilité et les objectifs financiers de l’entreprise ». Les DSI sont non seulement chargés de protéger les données, mais aussi d’aider les entreprises à utiliser ces données pour générer des informations exploitables. La migration vers le cloud permet aux entreprises de suivre et de générer des rapports en temps réel [1].

 

Vous pensez à la Sécurité en tant que service ? Voici quelques questions à considérer :

  • Quel est votre profil de risque ?
  • Y a-t-il une situation de crise particulière face à laquelle vous êtes en train de faire face ?
  • Avez-vous déjà mis en place une stratégie claire ?

 

Une fois que la décision de passer au cloud a été prise, choisissez minutieusement votre prestataire. Ne cherchez pas une solution unique : si vous le faites, vous constaterez peut-être que la solution que vous avez choisie est rapidement devenue obsolète ou n’est pas le seul élément d’un produit plus sophistiqué. Demandez à votre nouveau partenaire de fournir une formation et un encadrement à vos équipes tout en guidant votre entreprise tout au long du processus. Plus important encore, apprenez à connaître l’équipe avec laquelle vous travaillerez, car de bonnes relations peuvent faire la différence lorsque vous faites face à une crise.

Sheila Jordan, de Symantec, nous donne la meilleure réponse : « Lorsque vous travaillez avec un partenaire qui a une bonne compréhension de votre entreprise et de ce que vous visez, il peut vous offrir un soutien et des solutions globales qui évolueront avec votre entreprise. Les bons partenaires seront toujours orientés vers le client, faisant tout ce qui est en leur pouvoir pour faire avancer votre entreprise ».

Découvrez à quel point il est facile de migrer votre PGP vers le cloud.

Par Christian Peel, VP Ingénierie, Echoworx

———

[1] Sheila Jordan, “Security as a Service,” in Canadian Cybersecurity 2018: An Anthology of CIO/CISO Enterprise-Level Perspectives, ed. Ajay K. Sood (Toronto: CLX Forum, 2018), 23-45.

22 Oct 2018
Am i a data controller or data processor

UNE UNION RÉALISÉE DANS LE CLOUD : LE RESPONSABLE DU TRAITEMENT DE DONNÉES ET LE SOUS-TRAITANT DE DONNÉES

Le Règlement général sur la protection des données (GDPR) de l’UE est entré en vigueur le 25 mai 2018. En particulier, le GDPR donne aux particuliers un plus grand contrôle sur leurs données personnelles, et il exige que les entreprises précisent clairement les raisons pour lesquelles elles recueillent ces informations. Dans le cadre du GDPR, les sociétés qui accèdent à l’information sur les clients sont définies comme étant des responsables du traitement et/ou des sous-traitants. Toute entreprise qui fait des affaires au sein de l’UE ou avec des citoyens ou des résidents de l’UE doit se conformer au GDPR, même si elle est basée en dehors de l’Europe.

Quelle est la relation entre les responsables du traitement et les sous-traitants ?

Le responsable du traitement est la personne, l’entreprise ou l’agence qui détermine quelles données seront collectées, auprès de qui et dans quel but. Le responsable du traitement détermine également où et comment les données à caractère personnel sont stockées et gérées. Le sous-traitant est la personne, la société ou l’agence qui traite les données pour le compte d’un responsable du traitement. En effet : le responsable du traitement est à la recherche d’un stockage de données, et le sous-traitant fournit le stockage. Mais les deux sont assujettis au GDPR.

Dans la plupart des cas, les responsables du traitement téléchargent les données vers un processeur. Le responsable du traitement traitera ensuite les données et les stockera dans le nuage. Comme le responsable du traitement conserve le contrôle des données, il est essentiel de faire confiance au responsable du traitement.

Voici quelques questions à considérer :

  • Savez-vous où se trouvent les serveurs de vos sous-traitants ?
  • Est-ce que votre sous-traitant se conforme au GDPR ?
  • Leurs procédures en matière de cloud sont-elles sécurisées ? Peuvent-ils le prouver à l’aide d’audits effectués par des tiers ?
  • Est-ce que votre sous-traitant est certifié WebTrust ? Sont-ils en conformité avec SOC2 ?

 

Les responsables du traitement doivent également être clairs sur les politiques de conservation des données. Les personnes doivent savoir combien de temps leurs données seront conservées, et les données ne peuvent être conservées au-delà du temps nécessaire. À la fin de cette période, toutes les données doivent être détruites. Les sous-traitants qui sauvegardent des données dans plusieurs systèmes doivent mettre en place des procédures pour s’assurer qu’elles peuvent être supprimées.

En tant qu’entreprise de traitement de données, Echoworx ne distribue du courrier qu’aux utilisateurs finaux. Nous stockons tous les courriels sous forme cryptée et les supprimons rapidement. Nous sommes en totale conformité avec le GDPR.

Qu’est-ce que cela signifie pour moi ?

Il existe de nombreux cas où les entreprises peuvent rencontrer des points de contact dans la relation entre le responsable du traitement et le sous-traitant. Prenons l’exemple des services bancaires : vous êtes peut-être une grande banque qui a tout simplement trop de clients pour fournir un cryptage de données fiable et efficace en interne. Votre banque signe une entente contractuelle avec un fournisseur de cryptage tiers pour crypter et envoyer de gros volumes d’états financiers sécurisés. Étant donné que vous conservez le contrôle des coordonnées du client et des détails du relevé, votre rôle dans cette relation est celui d’un contrôleur de données – alors que la plate-forme de cryptage tierce partie, qui traite les données pour un transit sécurisé, est le processeur de données.

En fin de compte, vous êtes responsable d’assurer la sécurité des données sensibles des clients, qu’il s’agisse d’informations aussi simples que leur adresse ou plus complexes comme leur historique financier. De plus, en vertu de règlements comme le GDPR et de règlements encore plus récents, comme l’AB 375 de la Californie, vous êtes également responsable de vous assurer que vos sous-traitants de données tiers respectent les normes de sécurité que vous leur imposez.

Pour vous aider à établir une base de référence de ce qui est nécessaire, vous pourriez faire appel à un audit de cybersécurité réalisé par un tiers – voici ce que vous devez savoir.

Le Cybersecurity Leadership Exchange Forum (CLX Forum) offre de nouvelles perspectives

Une analyse approfondie du GDPR et de ses implications est fournie par le Forum CLX, une communauté de réflexion du leadership canadien, dans son livre Canadian Cybersecurity 2018 : An Anthology of CIO/CISO Enterprise Level Perspectives. Parmi les nombreuses observations les plus intéressantes, Edward Kiledjian, VP Information Security, Compliance and CISO chez OpenText, aborde la question de savoir à qui appartiennent les informations personnelles. Bien que cette question n’ait pas encore été tranchée en Amérique du Nord, le GDPR indique clairement qu’en Europe, les particuliers sont désormais propriétaires de leurs données. À tout moment, un citoyen de l’UE peut révoquer le droit d’une organisation de stocker ses données personnelles. Et si un citoyen de l’UE demande à une entreprise de détruire des données, l’entreprise doit le faire dans un délai d’un mois. Il est également important de noter que les données recueillies précédemment ne sont pas exemptées de ce règlement. Si votre entreprise a déjà recueilli des données auprès de résidents de l’UE dans le passé, les responsables du traitement doivent obtenir leur consentement pour l’utilisation actuelle de ces données. [1]

Un autre aspect important du GDPR est que son agence de réglementation teste activement la sécurité. Dans le cadre de ce processus, elle mesure également la façon dont les entreprises réagissent aux attaques. Comme le souligne Amir Belkhelladi, associé, Risk Advisory, chez Deloitte Canada, les conseils d’administration des sociétés sont maintenant directement responsables devant l’organisme de réglementation de GDPR. Les conseils doivent comprendre comment les données sont collectées, utilisées, sauvegardées et supprimées. Ils doivent également s’assurer que la direction suit ces nouveaux règlements. [2]

Des Sanctions à travers des amendes.

Avant le GDPR, les entreprises se faisaient surtout du souci quant à l’impact sur la réputation d’une atteinte à la cybersécurité. Aujourd’hui, en plus des dommages coûteux causés aux marques, les failles de sécurité ont de graves conséquences financières. Les entreprises qui ne protègent pas suffisamment les données peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros, soit 4 % de leur chiffre d’affaires annuel global, le montant le plus élevé étant retenu. Les entreprises n’ont que 72 heures pour signaler un incident, et elles sont tenues d’aviser les clients « sans délai indu » après avoir pris connaissance d’un incident.

Les entreprises qui ne fournissent pas de biens ou de services aux résidents de l’UE ne sont pas tenues de se conformer au GDPR. Mais le protocole GDPR s’applique également aux résidents de l’UE résidant à l’étranger et aux entreprises qui engagent des tiers ayant des liens avec des pays de l’UE. Pour ceux qui continuent à faire des affaires en Europe, la protection de la vie privée par la conception deviendra leur nouveau mot d’ordre. Les organisations doivent s’assurer que leurs systèmes répondent à ces normes strictes. Certaines petites organisations décideront-elles qu’elles ne peuvent plus faire affaire avec des citoyens de l’UE ? Presque certainement. Mais pour chaque entreprise opérant en Europe, la mise en conformité devrait être obligatoire. Et comme GDPR est l’ensemble le plus rigoureux de règlements sur la protection de la vie privée jamais adoptée, les entreprises qui sont en conformité peuvent être assurées qu’elles sont en conformité à l’échelle mondiale.

Par Nicholas Sawarna, Sr. Spécialiste en Content Marketing, chez Echoworx


[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”

17 Oct 2018
trust is the new currency in banking

Comment la « confiance » est-elle devenue la nouvelle devise dans le secteur bancaire ?

Un récent sondage d’Echoworx révèle que près de la moitié des clients envoient des renseignements personnels par courriel et font confiance à la sécurité d’un courriel en 30 secondes ou moins. Mais cette confiance est-elle garantie ?  Lorsqu’on les interroge, seulement 40 % des entreprises qui disposent de moyens de cryptage utilisent largement cette technologie pour protéger les données sensibles – un tiers des e-mails qui devraient être cryptés étant envoyés sur des réseaux non sécurisés. Ce qui est plus préoccupant, c’est que la plupart des atteintes à la protection des données ne sont pas détectées et que 61 % des employés admettent avoir envoyé des renseignements confidentiels par courriel non crypté.

La confiance est primordiale

Mark Carney, Gouverneur de la Banque d’Angleterre, affirme que le fait de préserver la confiance du public est la fonction principale des banques centrales. En outre, le « passé, le présent et l’avenir » des institutions financières sont tributaires de la confiance du public.

Et pour pouvoir inspirer de la confiance, selon une récente étude de Javelin, une banque doit être fiable dans la manière dont elle protège les données sensibles des clients. Cette fiabilité se traduit par la façon dont les données personnelles sont sauvegardées, les mesures proactives mises en place pour empêcher tout accès non désiré à leurs comptes et les formules d’indemnisation en place en cas de perte ou de fraude.

Quelles seront les répercussions du GDPR ?

Avec l’adoption récente du GDPR (RGPD) dans l’UE, les institutions sont désormais tenues de rendre publique toute infraction dans les 72 heures. Cela aura presque certainement une incidence sur la perception des consommateurs à l’égard des banques et de leurs mesures de sécurité, d’autant plus que la perception du public est en contradiction avec la réalité à cet égard : un établissement sur quatre a été piraté, mais seulement 3 % des clients pensaient que leur propre établissement avait subi ce sort. Parlant de la nature éphémère de la confiance, Mark Carney a déclaré : « La confiance arrive à pied, mais part en Ferrari. » Dans le sillage du GDPR, un plus grand nombre d’institutions risquent de comprendre cela.

Les données des clients : un atout et une responsabilité

La confiance dans les institutions financières incite davantage de clients à partager leurs données. 60 % des clients sont prêts à échanger des données personnelles en échange de certains avantages – par exemple, des tarifs réduits sur un produit financier. Les millénaires sont le groupe qui est le plus disposé à partager leurs données ; ils sont aussi le groupe qui est le plus au courant de leurs données et de la façon dont les banques les recueillent. Les baby-boomers et les personnes âgées ont un niveau de confiance élevé, mais cela ne se traduit pas par une disposition à partager leurs données.

Les institutions financières savent que 65 % des clients choisissent leur institution financière en fonction de la confidentialité et de la sécurité. Par conséquent, plus de la moitié des clients ont confiance en leur institution financière principale.

Mais dans quelle mesure la confiance peut-elle subsister en cas d’atteinte à la protection des données ? 86 % des clients ont indiqué qu’ils changeraient d’institution financière en cas d’atteinte à la protection des données, et ceux qui privilégiaient la confidentialité et la sécurité seraient bien placés pour conquérir une partie de cette clientèle.

En réalité, il est évident que de nombreux clients trouveraient que changer de prestataire est un inconvénient. Mais même si ces clients ne s’en vont pas, ils limitent quand même leurs activités : 35 % des clients ont déclaré qu’ils allaient réduire le nombre de transactions qu’ils effectuent, 28 % redistribueraient certains actifs à un autre fournisseur et 28 % seraient prudents quant aux investissements supplémentaires qu’ils feraient dans leur institution. Dans tous ces cas de figure, la banque aurait un impact financier.

Les banques peuvent tout de même instaurer la confiance envers le numérique

Il existe de nombreuses façons pour les banques d’instaurer la confiance des clients à l’égard du numérique, ce qui se traduira par un engagement et une fidélisation accrus des clients. En voici quelques-unes des plus importantes :

  1. Mettre l’accent sur le client. Les banques devraient se focaliser sur les services numériques dont les clients ont besoin et qui sont dans leur meilleur intérêt. Cette vision axée sur le client devrait se manifester à tous les niveaux de l’institution.
  2. Éliminer les sources de frictions. Supprimez les erreurs et simplifiez les services numériques. S’efforcer de comprendre pourquoi les clients ont des difficultés : cela permettra d’obtenir une solution durable.
  3. Communications sécurisées à travers le marquage. Les clients ne doivent jamais être induits en erreur par les communications numériques, que ce soit au niveau des paiements ou des relevés électroniques. Les courriels malveillants imitent vos communications authentiques dans le but de tromper vos clients. Toute communication sécurisée nécessite un marquage (branding) adéquat et des options en matière de langue.
  4. Protéger les clients. Mettre en place des stratégies pour protéger les données et protéger la vie privée des clients. Se défendre activement contre les menaces à la cybersécurité à l’aide de mesures proactives – comme le cryptage.

La confiance attire les clients et les encourage à rester. La confiance permet aux banques d’accéder à l’information qui leur permet d’améliorer leurs services. La confiance est la devise que les clients apprécient par-dessus tout. Il n’y a pas de doute : les institutions qui privilégient la confiance, qui la placent au cœur de leur façon de faire des affaires, prospéreront, même dans un contexte difficile où les menaces sont en constante évolution.

Par Derek Christiansen, responsable de l’engagement, Echoworx

———

[1] https://www.bloomberg.com/news/articles/2018-05-25/boe-s-carney-says-central-banking-comes-down-to-trust-in-money

[2] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

[3] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

01 Oct 2018
Sécurité 101

GUIDE DE SÉCURITÉ DE BASE: UN THESAURUS 2018 POUR LA SÉCURITÉ DE L’INFORMATION

On accorde beaucoup d’importance à la sécurité des données dans le monde numérique d’aujourd’hui, et c’est vraiment le besoin du moment – vous trouverez ci-dessous des réponses à certains des sujets les plus pertinents en matière de sécurité informatique.

Slava Ivanov, Ingénieur logiciel éminent chez Echoworx avec ses années d’expérience progressives dans la fourniture de solutions de sécurité pour résoudre les défis d’affaires, couplé à sa connaissance approfondie des cycles de développement logiciel est engagé dans le développement d’un Thésaurus 2018 pour la sécurité de l’information.

 

NOVEMBRE |

 

Q : QU’EST-CE QUE L’INGÉNIERIE SOCIALE ?

R : L’ingénierie sociale est l’art de manipuler les gens pour qu’ils dévoilent des informations confidentielles. Même les systèmes les plus sécurisés qui ne peuvent être pénétrés par des moyens numériques ou cryptographiques peuvent être compromis par un simple appel téléphonique à un employé de la société ciblé et en se faisant passer pour un collègue ou un employé du service informatique. Certaines techniques d’ingénierie sociale bien connues incluent l’hameçonnage, le détournement de clic, l’hameçonnage par téléphone, et le baiting (appâtage). Il n’existe pas de solution miracle pour prévenir une attaque d’ingénierie sociale, mais la meilleure défense est la formation des utilisateurs et de les sensibiliser à la sécurité.

Q : VULNÉRABILITÉ VS EXPLOIT : QUELLE EST LA DIFFÉRENCE ?

R : Une vulnérabilité de sécurité est une faille de sécurité involontaire d’un logiciel ou d’un système qui le laisse ouvert à une exploitation potentielle, comme un accès non autorisé ou un autre comportement malveillant, comme des virus, vers et autres programmes malveillants. Le terme « exploit » est un autre terme pour désigner une vulnérabilité de sécurité, cependant il désigne un problème de sécurité en cours, et non pas un problème potentiel. Par exemple, une serrure endommagée sur la porte de votre chalet serait une vulnérabilité qui doit être corrigée le plus rapidement possible. Mais une serrure de porte endommagée dans une grande ville serait un exemple d’exploit – il pourrait y avoir des gens dans les environs, qui exploitent activement cette vulnérabilité connue.

Q : QU’EST-CE QU’UN PENTEST (TEST D’INTRUSION) ?

R : Un Pentest est une forme abrégée pour un test d’intrusion. Il s’agit d’un exercice de sécurité où un expert de confiance en cybersécurité va tenter de trouver les vulnérabilités d’un système avant que les intrus malveillants puissent les exploiter. Pour produire un rapport de test d’intrusion, le système est ciblé par des attaques simulées : force brute, injections SQL, etc. Les résultats sont ensuite partagés avec l’équipe de sécurité de l’entreprise ciblée pour la mise en œuvre des correctifs de sécurité et des correctifs ultérieurs. Afin d’assurer la sécurité du système, le test d’intrusion doit être effectué régulièrement, surtout lorsque de nouvelles technologies sont ajoutées.

Q : QU’EST-CE QUE LA CIA A À VOIR AVEC LA CYBERSÉCURITÉ ?

Dans le monde de la sécurité informatique, le trio d’acronyme CIA signifie confidentialité, intégrité, disponibilité – à ne pas confondre avec l’Agence centrale de renseignement américaine. La confidentialité – pour assurer la sécurité des données sensibles ; le cryptage est une solution fiable pour garantir la confidentialité. L’Intégrité – dans la conservation de l’intégrité des données ; les hachages cryptographiques et la signature numérique sont utilisés pour vérifier que les informations n’ont pas été altérées. Disponibilité – maintenir l’accessibilité des données ; la planification stratégique et l’allocation des ressources dans le but d’assurer la disponibilité des services et des applications 24 heures sur 24, 7 jours sur 7, y compris les plans de sauvegarde, la récupération des données, ainsi que la capacité à évoluer des services.

 

OCTOBRE |

 

Q: QU’EST-CE QU’UN BOTNET ?

R : Le mot « Botnet » est une combinaison des mots robot et réseau. Le botnet est considéré comme un groupe d’appareils connectés à Internet – tel que les IoT et appareils mobiles, ordinateurs, réseaux – infectés par un logiciel malveillant. Chaque dispositif compromis est appelé « bot » et peut être contrôlé à distance par l’émetteur d’un botnet, connu sous le nom de « bot master ». Les botnets sont de plus en plus souvent proposés en location par des cybercriminels comme marchandises et utilisés couramment dans les attaques DDoS. Les botnets sont capables de tirer profit de la puissance collective des ordinateurs, pour envoyer de gros volumes de spam, voler des informations d’identification en masse ou espionner des personnes ou des entreprises.

Q : LE CRYPTOJACKING EST-T-IL LA NOUVELLE MENACE AMBIANTE ?

R : Le cryptojacking est l’utilisation non autorisée de l’ordinateur d’une victime pour miner de la crypto-monnaie. Selon un récent rapport de sécurité de Symantec, le cryptojacking est apparu de nulle part et a explosé comme rien auparavant. Les pirates informatiques considèrent qu’il s’agit d’un moyen simple et peu coûteux de gagner plus d’argent avec moins de risques. Contrairement à d’autres types de logiciels malveillants, le cryptojacking n’endommage pas les données de la victime ou son ordinateur. Mais, puisqu’ils utilisent les ressources en matière de traitement du processeur, la victime devra faire face à des coûts liés à la réduction de la durée de vie de l’appareil, à une consommation d’énergie accrue et à des problèmes de performance globale.

Q : QU’EST-CE QU’UN LOGICIEL ESPION ?

R : Un logiciel espion est un type de logiciel malveillant qui est installé sur votre ordinateur, souvent à votre insu. Il est conçu pour surveiller vos activités informatiques et pour recueillir et transmettre les données à des entreprises à des fins de marketing. La collecte de données comprend en général vos informations personnelles telles que votre nom, adresse, habitudes en matière de navigation Internet, préférences, intérêts ou téléchargements. En plus d’être une atteinte à la vie privée, ce logiciel peut causer de sérieux problèmes en termes de niveau des performances du système.

Q : QU’EST-CE QUE L’ATTAQUE DES ANNIVERSAIRES ?

R : L’attaque des anniversaire est un type d’attaque brutale basée sur le paradoxe de l’anniversaire, qui affirme que sur 253 personnes dans une pièce, il y a 50 % de chances que quelqu’un ait votre date de naissance ; cependant, seulement 23 personnes doivent être dans la pièce pour obtenir 50 % de chances que deux personnes partagent le même anniversaire. C’est parce que les concordances sont basés sur des paires. Ce phénomène statistique s’applique également à la recherche de collisions dans les algorithmes de hachage car il est beaucoup plus difficile de trouver quelque chose qui entre en collision avec un hachage donné que de trouver deux entrées qui ont la même valeur de hachage.

Q : QUELLE EST LA POLITIQUE D’ORIGINE COMMUNE ?

R : En informatique, « Same-Origin Policy » Politique d’origine commune est le mécanisme de défense basé sur le navigateur qui garantit que certaines conditions doivent être remplies avant que le contenu (généralement JavaScript) ne soit exécuté lorsqu’il est servi depuis une application Web donnée. En vertu de la politique, le navigateur permet à un script de page Web d’accéder aux données d’une autre page Web uniquement lorsqu’elles ont la même origine, c’est-à-dire lorsque l’origine est une combinaison du protocole, du domaine et du port des ressources Web.

 

SEPTEMBRE |

 

Q : LES PROJETS OPEN SOURCE SONT-ILS PLUS SÛRS QUE LES PROJETS PROPRIÉTAIRES ?

R : Une fausse idée répandue est que les projets open source sont plus sûrs, soit parce que n’importe qui peut en vérifier le code source, soit parce que les observateurs sont si nombreux à le scruter. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde lui fait confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs antécédents, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications affreusement peu sûres qui proviennent des deux camps.

Q : QU’EST-CE QUE LA FALSIFICATION DES DEMANDES INTERSITES (Cross-Site Request Forgery) ?

R : Le Cross-Site Request Forgery (CSRF) est un genre d’attaque sur un site Web où un intrus se camoufle comme un utilisateur légitime et de confiance. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL liée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour changer les paramètres du pare-feu, afficher des données non autorisées sur un forum ou effectuer des transactions financières frauduleuses.

Q : POURQUOI MON IDENTIFIANT PKI COMPREND-IL DEUX CLÉS ?

R : La combinaison de clés publiques et privées est une paire de clés asymétriques qui exécutent les fonctions de cryptage/décryptage lors d’une transmission de données sécurisée. La clé publique est donc publique et accessible à tous. D’autre part, la clé privée doit rester confidentielle pour son propriétaire respectif. Lors du cryptage des données, la clé publique du destinataire est utilisée – et seul ce destinataire sera en mesure de les décrypter. Lors de la signature, la clé privée est employée pour confirmer l’identité de l’expéditeur.

Q : QU’EST-CE QUE LA FALSIFICATION DE REQUÊTE INTERSITES (CRSF) ?

R : La falsification de requête intersites (cross-site request forgery) (CSRF) est le type d’attaque sur un site Web où un pirate se fait passer pour un utilisateur légitime et fiable. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL associée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour modifier les paramètres du pare-feu, afficher des données non autorisées sur un forum ou procéder à des transactions financières frauduleuses.

Q : EST-CE QUE LES PROJETS OPEN SOURCE SONT PLUS SÉCURISÉS QUE LES PROJETS PROPRIÉTAIRES ?

R : On pense souvent à tort que les projets open source sont plus sûrs, soit parce que n’importe qui peut vérifier le code source, soit parce que de nombreux utilisateurs l’observent. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde leur accorde sa confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs qualifications, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications effroyablement insécurisées qui proviennent des deux camps.

Q : S’AGIT-IL D’UNE ATTAQUE « DOS » OU « DDOS » ?

R : Une attaque par déni de service (DoS) est un type de cyberattaque conçu pour rendre un ordinateur ou un réseau inaccessible à ses utilisateurs en perturbant les services d’un hébergeur. Cela se fait généralement en inondant le serveur d’un nombre incalculable de paquets pour en saturer la capacité, ce qui entraîne un déni de service ou un dépassement de mémoire tampon qui peut faire consommer de l’espace disque, de la mémoire, ou le temps de traitement du processeur du serveur. Une attaque par déni de service distribué (DDoS) est similaire à une attaque par déni de service (DoS), mais le trafic est généré par différentes sources, ce qui rend impossible sa prévention en bloquant simplement une source unique d’attaque.

 

AOÛT |

 

Q : J’UTILISE GOOGLE CHROME, ET VOUS ?

R : De nos jours, il y a beaucoup de navigateurs à votre disposition : Chrome, avec son moteur de recherche Google intégré ; Edge, avec sa capacité à prendre des notes directement sur la page ; Firefox, avec son option pour continuer à lire les pages où vous étiez dans un autre appareil ; Safari, parfaitement adapté aux appareils mobiles. Quels que soient vos critères de sélection pour choisir votre navigateur Internet, le plus important est de le maintenir à jour avec tous les correctifs et mises à jour de sécurité. Profitez d’une navigation sur Internet en toute sécurité.

Q : QU’EST-CE QU’UN CERTIFICAT NUMÉRIQUE?

R : Dans le secteur de la cryptographie, un certificat numérique est une forme électronique d’identification, tout comme votre passeport ou votre permis de conduire. Il fournit des informations sur votre identité et est établi par une autorité de certification (AC) pour une période de temps spécifique. L’AC assure la validité des informations contenues dans le certificat. Le format le plus courant pour les certificats numériques est défini par la norme X.509. Il y a une variété de domaines où les certificats sont utilisés : SSL/TLS, S/MIME, signature de code, etc.

Q : QUEL EST LE GOÛT DES COOKIES INFORMATIQUES?

R : Un cookie est un petit fichier provenant d’un site web qui est sauvegardé dans votre ordinateur par le navigateur web. La partie savoureuse du cookie est qu’il peut stocker, par exemple, les informations de connexion, le code postal, etc. de sorte que vous n’avez pas besoin de le taper à plusieurs reprises. La partie amère, c’est qu’il peut suivre vos habitudes et être utilisé par les réseaux publicitaires. La saveur désagréable survient lorsqu’un cookie contenant des informations sensibles est intercepté par un pirate informatique. Débarrassez-vous régulièrement des cookies, gardez votre logiciel antivirus à jour et visitez les sites web auxquels vous faites confiance – et profitez ainsi de la saveur des cookies !

Q: QUE SIGNIFIE SSO?

A: SSO est l’acronyme de Single Sign-On (authentification unique). Avec l’authentification unique, l’utilisateur peut s’authentifier une seule fois, puis utiliser plusieurs systèmes ou applications sans avoir à entrer à nouveau ses identifiants. Sans aucune SSO, les utilisateurs doivent retenir un nom d’utilisateur et un mot de passe différents (identifiants différents) pour chaque système utilisé. Cela conduit l’utilisateur à utiliser des mots de passe courts, simples ou similaires pour chaque ressource. Pour réduire la contrainte liée aux mots de passe, le temps nécessaire pour saisir à nouveau les informations d’identité, les demandes de « mot de passe oublié », etc. de nombreuses entreprises mettent en œuvre l’authentification unique.

Q: QU’EST-CE QUE S/MIME?

A: S/MIME (Extensions de messagerie Internet polyvalentes sécurisées) est la norme pour sécuriser les messages MIME. Elle fait passer la communication SMTP à un niveau supérieur en permettant l’utilisation d’un protocole de messagerie largement supporté sans compromettre la sécurité. Elle utilise l’infrastructure à clé publique (PKI) pour chiffrer et/ou signer les données. S/MIME apporte les avantages du service cryptographique au courrier électronique : confidentialité et intégrité des données avec cryptage des messages ; authentification et non-répudiation avec signature numérique.

 

JUILLET|

 

Q: QU’EST-CE QUE MIME?

A: MIME (Multipurpose Internet Mail Extensions) est la norme Internet qui définit la manière dont un message doit être formaté pour être transféré entre différents systèmes de messagerie. MIME est un format très souple qui permet d’inclure presque tous les types de données telles que le texte, les images, l’audio, les applications, etc. Avec un encodage approprié, MIME est également capable de gérer les messages écrits dans les différentes langues internationales. MIME est conçu pour les communications SMTP, mais de nombreuses définitions de la norme sont largement utilisées dans les protocoles de communication WWW.

Q:QU’EST-CE QUE LE TABNABBING?

R:Le Tabnabbing, également connu sous le nom de Tabjacking, est une attaque par hameçonnage qui utilise l’inattention d’un utilisateur pour ouvrir plusieurs onglets de navigateur afin de voler les informations sensibles de l’utilisateur. Par exemple, vous avez ouvert la page touchée par cette attaque avec d’autres onglets du navigateur. Si le script de l’onglet malveillant détecte une inactivité, la page Web sera alors rechargée et affichera, par exemple, une fausse page de connexion de Gmail à la place. En raison d’un manque d’attention aux onglets ouverts, l’utilisateur peut entrer les informations d’identification demandées et elles seront volées par les cybercriminels.

Q: COMMENT UN VPN PEUT-IL AMELIORER LA PROTECTION DE MA VIE PRIVEÉ ET MA SECURITÉ?

R: Un VPN (Virtual Private Network) permet d’étendre un réseau privé   (ex: réseau d’entreprise) sur un réseau public (ex. : Internet) et permet aux utilisateurs d’accéder aux ressources du réseau privé comme s’ils étaient directement connectés à ce réseau privé. Un VPN utilise une technologie de cryptage pour crypter le trafic réseau, ainsi, si un pirate détecte les paquets, il ne reçoit que des données cryptées. Il identifie la modification des données transmises et les rend intacts. Un VPN utilise l’authentification pour empêcher l’accès non autorisé aux ressources.

Q: EST-CE QUE LE « PHARMING » EST UN AUTRE MOT DE PLUS AVEC UNE ERREUR?

R: Le pharming est un type avancé de cybercriminalité, qui ressemble à l’hameçonnage, qui combine les sens des mots « Phishing » et « Farming ». La principale motivation du pharming est d’obtenir des noms d’utilisateur et des mots de passe auprès de détaillants ou de banques en ligne, sans avoir besoin de vous hameçonner avec des courriels ou des liens malveillants. Vous allez sur une ressource Web bien connue, comme toujours, mais vous vous retrouvez sur le système du pirate informatique – qui a été modifié pour ressembler à un site Web légitime. L’une des techniques utilisées dans une attaque de pharming est le piratage des services DNS sur un système informatique par un code malveillant désigné sous le nom d’Empoisonnement du cache DNS.

 

JUIN |

 

Q: COMMENT ÊTRE EN SÉCURITÉ EN FAISANT DES PAIEMENTS EN LIGNE?

R: Il y a quelques points à considérer lorsque vous faites des achats en ligne : 1. Assurez-vous que le site Web de vente en ligne utilise une connexion SSL et que l’entreprise est digne de confiance. 2. Toujours préférer les transactions par carte de crédit à celles par débit. 3. N’effectuez pas de paiements lorsque vous êtes connecté à un réseau Wi-Fi public. 4. Pensez à refuser de mémoriser les données de votre carte de crédit sur le site Web d’un vendeur – même si vous l’utilisez souvent. 5. Ne saisissez jamais votre code PIN ou le mot de passe de votre banque lorsque vous effectuez une transaction. Le dernier mot : Vérifiez votre relevé de carte de crédit régulièrement, inscrivez-vous pour les notifications de transaction, si possible, et soyez en sécurité.

Q : COMMENT ÊTRE EN SÉCURITÉ SUR LES WI-FI STARBUCKS?

R: Pour être en sécurité lorsque vous utilisez un réseau Wi-Fi public, utilisez uniquement une connexion sécurisée (SSL) sur des sites Web fiables. Évitez d’utiliser des noms d’utilisateur et des mots de passe personnels, même si c’est pour vérifier votre courrier électronique, car les pirates peuvent surveiller les réseaux Wi-Fi non protégés et vos informations peuvent être volées. Désactivez les options Partage de fichiers et AirDrop et vérifiez que le pare-feu de votre ordinateur portable est activé. Pour une protection encore meilleure, sécurisez et chiffrez votre connexion en utilisant un réseau privé virtuel (VPN) – un tunnel numérique sécurisé vers votre périphérique.

Q: QU’EST-CE QUE l’IDO DE TOUTE FAÇON?

R: L’Internet des Objets (IoT) est un écosystème d’appareils connectés capables de communiquer avec nous, et entre eux, sur Internet. Un thermostat intelligent, contrôlable à partir de nos téléphones et tablettes, par exemple, est un appareil bien connu connecté à l’IoT. De nos jours, tout est « intelligent », des simples capteurs et actionneurs aux réfrigérateurs et voitures. L’avenir de l’IoT est très passionnant et va révolutionner notre façon de vivre, en rendant des villes et des pays entiers plus intelligents et plus efficaces. C’est vraiment un âge d’or pour les appareils IoT.

Q:COMMENT EST-CE QUE LE BLOWFISH ÉVOLUE DANS LE DOMAINE DE LA CRYPTOGRAPHIE?

R: Le Blowfish est un algorithme de cryptage symétrique conçu par Bruce Schneier en 1993 pour remplacer les anciens algorithmes DES et IDEA. Il a une taille de bloc de 64 bits et utilise une clé à longueur variable, de 32 bits à 448 bits, ce qui convient à la fois à l’usage local et à l’exportation. Blowfish cherche à rendre difficile une attaque par force brute en rendant l’installation de la clé initiale assez lente. Cet algorithme n’est pas breveté, sans licences, et est disponible gratuitement pour tout le monde. Blowfish ne devrait pas être utilisé pour les gros fichiers en raison de la petite taille des blocs (64 bits par opposition à la taille des blocs de 128 bits de l’AES).

 

MAI |

 

Q: BLUEJACKING, BLUESNARFING ET BLUEBUGGING EST-CE DE NOUVELLES NUANCES DE BLEU?

R: Le bluejacking, la première attaque bluetooth, est l’envoi de messages non sollicités vers des périphériques dont le bluetooth est activé. Le bluejacking n’est pas très méchant et se limite généralement à envoyer des messages texte, des images ou des sons à un périphérique ciblé. Le bluesnarfing est plus méchant et cible les informations confidentielles de l’utilisateur – avec un attaquant qui se connecte à un périphérique bluetooth, à l’insu du propriétaire, et télécharge son répertoire, son calendrier et plus encore. Le bluebugging va plus loin – c’est une prise de contrôle virtuelle complète du périphérique. Une fois connecté, un attaquant peut accéder à vos contacts, passer et écouter des appels, lire vos messages et e-mails et même suivre votre position, à votre insu.

Q: SAML OU OAUTH?

R: SAML (langage de balisage d’assertion de sécurité) est généralement utilisé lorsque la solution nécessite une gestion centralisée des identités ; implique SSO avec au moins un participant d’entreprise ; donne accès à une application. OAuth (autorisation ouverte) est généralement utilisé lorsqu’une solution fournit un accès à des ressources, comme des comptes, des fichiers, etc . ; ou implique des périphériques mobiles. Les deux technologies peuvent être utilisées en même temps. Par exemple : SAML pour l’authentification ; une fois le jeton SAML traité, utilisez-le comme jeton de support OAuth pour accéder aux ressources protégées via HTTP.

Q: QUELS SONT LES TYPES DE BIOMÉTRIE?

R: Il y a deux principaux types de biométrie : La biométrie physiologique est quelque chose lié à ce que nous sommes, y compris les tailles spécifiques, les dimensions et les caractéristiques de notre corps. Votre visage, vos yeux, vos veines ou vos empreintes digitales sont un exemple de données biométriques physiologiques. Ce que nous faisons c’est de la biométrie comportementale qui est liée à nos habitudes personnelles et à nos mouvements uniques. Votre voix, vos gestes, votre façon de marcher et votre signature manuscrite sont l’exemple le plus simple de ce type.

Q: EST-IL POSSIBLE D’ARRÊTER LE VOL D’IDENTITÉ?

R: Il est presque impossible d’empêcher complètement le vol d’identité, mais il est possible de réduire le risque en suivant quelques conseils simples : 1. Faites attention à vos paramètres de confidentialité sur les médias sociaux. 2. Utilisez des mots de passe forts et différents lors de la création de comptes en ligne. 3. Ne consultez pas les e-mails suspects qui peuvent être un hameçonnage pour les données. 4. Ne fournissez aucune information à des sites Web n’utilisant pas de connexion SSL. 5. Protégez votre PC en utilisant un logiciel de protection pare-feu, antivirus et anti-espion, et à jour.

 

AVRIL |

 

Q: POURQUOI UTILISER SAML ?

R: Le langage SAML (Security Assertion Markup Language) est une norme ouverte qui représente un cadre XML pour le partage d’informations de sécurité sur l’identité, l’authentification et l’autorisation entre différents systèmes. SAML élimine la nécessité de disposer de plusieurs mots de passe d’applications et de services en permettant un échange d’authentification basé sur des jetons. Il résout le défi clé en activant la fonctionnalité d’authentification unique (SSO). SAML permet de gagner du temps sur le plan administratif et d’accroître la sécurité grâce à un contrôle centralisé de l’authentification et de l’accès.

Q: QU’EST-CE QUE LA CONFORMITÉ PCI ?

A: Le PCI est un acronyme pour Payment Card Industry et est souvent suivi des lettres DSS pour Data Security Standard. Les entreprises conformes à la norme PCI doivent respecter les règles définies par le PCI Security Standards Council. Certains d’entre eux sont : Maintenir une politique de sécurité de l’information ; surveiller et maintenir un réseau sécurisé ; mettre en œuvre des contrôles d’accès rigoureux ; protéger les renseignements de nature délicate. Les clients de ces entreprises doivent se sentir en sécurité et confiants que leurs données seront protégées.

Q:QU’EST-CE QUE LE VOL D’IDENTITÉ?

R: Le vol d’identité est un accès non désiré ou non autorisé à vos renseignements personnels. Une fois que quelqu’un s’empare de vos données personnelles, il peut commettre toutes sortes de crimes en les utilisant, y compris la fraude dans les télécommunications, le blanchiment d’argent, les cybercrimes, et plus encore. Les criminels utilisent des renseignements apparemment inoffensifs, comme votre date de naissance, pour avoir accès à d’autres renseignements à votre sujet, y compris votre adresse, votre courriel, votre lieu de naissance, vos numéros d’assurance et vos mots de passe. Prenez soin de protéger vos données en veillant à la protection de votre vie privée lorsque vous partagez des données sensibles.

Q: QU’EST-CE QUI EST LE STANDARD DE CRYPTAGE AVANCÉ (AES)?

R: L’Advanced Encryption Standard (AES) est un algorithme de cryptage par blocs à clé symétrique. AES est un sous-ensemble du cryptage Rijndael développé par deux cryptographes belges, Vincent Rijmen et Joan Daemen. AES est capable de gérer des blocs de 128 bits, en utilisant des clés de 128, 192 et 256 bits. La taille de la clé est illimitée, alors que la taille maximale du bloc est de 256 bits. AES est plus sûr et permet un cryptage plus rapide que ses prédécesseurs DES et 3DES. Globalement, AES s’est avéré être un cryptogramme fiable au fil du temps.

 

MARS |

 

Q: BLUETOOTH: LA FACILITÉ A UN PRIX?

R: Nous utilisons la technologie Bluetooth tous les jours pour connecter nos écouteurs, nos trackers de fitness, le système mains libres de la voiture, etc. Il est important de connaître les questions de sécurité associées à la technologie. Bluetooth envoie des données sans fil qui peuvent être interceptées par les mauvaises personnes. Pour protéger vos informations, pensez à régler vos appareils sur « indétectable » lorsqu’ils ne sont pas utilisés. N’acceptez jamais les demandes d’appariement de parties inconnues. Téléchargez et installez régulièrement des mises à jour de sécurité sur vos appareils.

Q: Y A-T-IL UNE ERREUR DANS LE MOT «PHISHING»?

R: Les arnaques d’hameçonnage imitent des entreprises comme les banques, les fournisseurs de services en ligne, les organisations légitimes et autorisées afin d’obtenir des informations sensibles comme les noms d’utilisateur, les mots de passe, les détails des cartes de crédit, etc. On le nomme Phishing en raison de la longue tradition des hackers d’utiliser « PH » au lieu de « F ». Faites attention à ne pas tomber dans les pièges mis en place par ces Phishermen et évitez de vous faire prendre dans le filet des Phish.

Q: QU’EST-CE QUE C’EST LE DIFFIE-HELLMAN KEY EXCHANGE?

R: Diffie-Hellman (DH) est un protocole d’échange de clés conçu à l’origine par Ralph Merkle. Il porte le nom de Whitfield Diffie et Martin Hellman – deux cryptographes. DH permet d’échanger en toute sécurité des clés cryptographiques sur un canal public sans rien partager au préalable. Une clé secrète partagée peut alors être utilisée pour crypter les communications consécutives. L’échange DH lui-même ne fournit pas d’authentification des parties et pourrait être vulnérable à l’attaque man-in-the-middle. Les variantes de DH avec authentification devraient être considérées.

Q: QU’EST-CE QUE LA NÉGOCIATION (HANDSHAKE) SSL?

A: La connexion SSL/TLS entre un client et un serveur commence par une négociation « handshake ». Cela comprend un certain nombre d’étapes – en commençant par la validation de l’identité de l’autre partie et se terminant par la génération d’une clé de session commune. Le client génère une clé symétrique, la crypte et la renvoie, puis le serveur décrypte cette clé de session à l’aide de sa clé privée. Le serveur et le client sont maintenant prêts à utiliser cette clé symétrique pour crypter et décrypter le transfert de données.

 

FÉVRIER |

 

Q: EST-CE QUE LA TECHNOLOGIE DE RECONNAISSANCE FACIALE PERMET UNIQUEMENT L’AUTHENTIFICATION?

R: La technologie de reconnaissance faciale nous aide déjà dans de nombreux domaines de notre vie, comme le contrôle de sécurité dans les aéroports, la vidéosurveillance de façon simple et amicale, les enquêtes sur les scènes de crime, etc. Examinons comment la technologie peut être utilisée pour adapter les approches marketing ? Il peut, par exemple, remplacer une carte de fidélité de magasin. Lorsque vous entrez dans le magasin, le personnel saura ce que vous avez acheté la dernière fois, vous fera des offres personnelles et échangera vos points. Le magasin lui-même peut adapter vos offres en analysant les données faciales, telles que le sexe, l’âge et l’origine ethnique. Les possibilités sont infinies.

Q: EST-CE QUE LE TLS UTILISE UN CRYPTAGE SYMÉTRIQUE OU ASYMÉTRIQUE?

R: Les deux. TLS utilise un algorithme de cryptage asymétrique uniquement pour établir une session client-serveur sécurisée. Pour le cryptage asymétrique, l’expéditeur a besoin d’une clé publique pour crypter les données et le destinataire a besoin d’une clé privée pour les décrypter. Le cryptage du volume de la charge utile exige de la vitesse, de sorte qu’un algorithme de cryptage symétrique est utilisé pour échanger des informations sur une session sécurisée établie. Pour le cryptage symétrique, l’expéditeur et le destinataire partagent une seule clé symétrique pour crypter et décrypter les données.

Q: «OK, GOOGLE» DOIS-JE ME FAIRE DU SOUCI AU SUJET DU RESPECT DE MA VIE PRIVÉE?

R: Les assistants vocaux, comme Google Home, Amazon Echo, etc., peuvent répondre à vos questions, fournir un rapport météo, monter le thermostat, contrôler les lumières ou même commander une pizza. Cette solution pratique a un prix. L’assistant est toujours à l’écoute. Envisagez d’utiliser le bouton « mic mute » pour l’éteindre lorsqu’il n’est pas nécessaire. N’importe qui peut contrôler votre appareil. Envisagez de ne pas connecter certains appareils IdO (Internet des objets) comme les serrures de porte intelligentes ; désactivez les options de paiement qui ne sont pas utilisées. Profitez de votre assistant numérique, mais n’en faites pas le maître de maison.

Q: QU’EST-CE QUE LE CAMOUFLAGE?

R: Le but du camouflage est d’empêcher quelqu’un de comprendre le contenu de quelque chose. Dans le développement de logiciels, il est souvent utilisé sur le code informatique pour rendre plus difficile l’altération, l’ingénierie inverse ou le vol de la fonctionnalité d’un produit. Il est important de comprendre que le camouflage n’est pas comme le cryptage, mais plutôt comme de l’encodage. Il peut être inversé en utilisant la même technique ou simplement comme un processus manuel qui prend du temps.

Q: QUELLES SONT LES MÉTHODES D’AUTHENTIFICATION?

R: Il existe trois grandes catégories d’authentification:

La connaissance est quelque chose que vous connaissez, par exemple un simple nom d’utilisateur et un mot de passe ;
La possession est quelque chose que vous avez, il peut s’agir d’une carte d’accès ou d’une télécommande ;
L’inhérence est quelque chose qui vous est propre, votre caractéristique biométrique, comme une empreinte digitale.

Parfois, votre localisation est considérée comme la 4e méthode. L’authentification multifactorielle augmente significativement la sécurité, mais aura évidemment un impact sur l’expérience utilisateur.

 

JANVIER |

 

Q: QU’EST-CE QUE L’ENCODAGE DES DONNÉES?

R: En informatique, l’encodage consiste à transformer les données originales dans un autre format afin qu’elles puissent être transférées et utilisées par différents systèmes. Par exemple, utiliser l’encodage binaire en texte Base64 pour les fichiers binaires pour les envoyer par courriel. L’encodage utilise des algorithmes accessibles au public et peut être facilement inversé (décodé). Le but principal de l’encodage n’est pas de garder l’information secrète, mais de s’assurer qu’elle est utilisée dans des conditions de sécurité et de façon appropriée.

Q: LA BIOMÉTRIE EST-ELLE LA SOLUTION PAR EXCELLENCE EN MATIÈRE D’AUTHENTIFICATION?

R: La biométrie est le terme technique qui fait référence aux mesures liées aux caractéristiques humaines, comme l’empreinte digitale, la voix, l’iris des yeux, etc. De nombreux produits de consommation ont adopté la biométrie pour l’authentification pour des raisons de commodité pour l’utilisateur, tandis que les produits d’entreprise choisissent de se retirer afin d’assurer une sécurité maximale des données. Le principal moyen d’authentification est la connaissance, comme un mot de passe ou un NIP (PIN). Les données biométriques n’ont jamais été conçues pour être le secret. Pouvez-vous vous imaginer porter des gants tout le temps ?

Q: EST-CE QUE LE FACE ID EST PLUS SÛR QUE LE TOUCH ID?

R: Apple affirme qu’il y a une chance sur un million que quelqu’un puisse débloquer votre appareil en utilisant Face ID comparé à 1 chance sur 50000 que quelqu’un ait la même empreinte digitale que vous. Est-ce que cela signifie que la sécurité de Face ID est 20 fois plus élevée ? Il est important de se rappeler que le Face ID et le Touch ID sont davantage une question de fonctionnalité et de design que de sécurité. Votre mot de passe (PIN) restera toujours le plus grand point faible de votre appareil. Donc, c’est mieux d’en faire un qui soit puissant.

Q: QU’EST-CE QUE LE «HEX»?

R: Les nombres hexadécimaux (hexadécimale ou base-16) sont largement utilisés en calcul et en mathématiques comme représentation de valeurs binaires. Chaque chiffre hexadécimal représente quatre bits ou un demi-octet. 16 symboles uniques 0-9 et A-F utilisés pour représenter une valeur.

Cette couleur pourpre porte le numéro hexadécimal #7334A4
#73(hexadécimal) est (7×16) + (3×1) = 115 (décimale) de bleu
#34(hexadécimal) est (3×16) + (4×1) = 52 (décimale) de vert
#A4 (hexadécimal) est (10×16) + (4×1) = 164 (décimale) de bleu
Dans l’espace RVB (RGB) notre couleur sera rvb (115, 52, 164) (115, 52, 164)

Il s’agit d’une version très résumée des nombreux termes et acronymes de sécurité utilisés de nos jours, mais nous espérons que cela vous aidera. Ne vous arrêtez pas maintenant. Renseignez-vous sur la façon dont vous pouvez utiliser le cryptage pour créer des communications fiables avec des livres blancs, des rapports, des webinaires et des vidéos.

RESSOURCES DE CRYPTAGE

27 Sep 2018
cybersecurity audits

Pourquoi les audits de cybersécurité sont-ils importants?

Le monde de la cybersécurité est en train de se transformer. Les taux de courriels et de logiciels malveillants ne cessent d’augmenter et de nouvelles menaces font leur apparition. Entre-temps, le nombre d’attaques par ransomware (rançongiciel) est devenu si élevé que des groupes d’attaque ciblés s’en servent maintenant comme leurres pour couvrir des formes plus graves d’attaque.

Dans un océan de cybermenaces en constante évolution, votre entreprise peut-elle se maintenir à flot ?

Si vous pensez qu’un pare-feu est tout ce dont vous avez besoin pour évaluer la cybersécurité de votre parc informatique – probablement pas. Après tout, les cyberattaques sont maintenant une question de quand, pas si, et aucune solution unique ne peut résoudre tous les problèmes. C’est sur ce point que le fait d’avoir un deuxième avis peut vous aider énormément à comprendre le contexte actuel de la cybersécurité en ce qui concerne les menaces, les moyens de défense disponibles, les risques de tiers et les nouvelles réglementations.

Présentation de l’audit de cybersécurité.

Pourquoi effectuer des audits de cybersécurité ?

La cybersécurité est un réseau complexe de systèmes et de méthodes qui doivent évoluer en réponse aux menaces. Et les audits de cybersécurité effectués par des tiers contribuent à apporter clarté et perspicacité. Dans certaines organisations, il se peut que l’on ne sache pas à quelle fréquence et pourquoi les politiques de sécurité devraient être actualisées. Les services informatiques ne disposent peut-être pas des outils dont ils ont besoin pour assurer la sécurité des systèmes. Pire encore, ils ne s’en rendent peut-être pas compte ! Et même lorsque la cybersécurité est un élément clé de la culture des entreprises, se concentrer sur les grilles de pointage et les indicateurs de performance des entreprises peut faire en sorte que l’attention se porte sur le passé et les menaces déjà rencontrées. Les entreprises doivent plutôt se tourner vers l’avenir pour anticiper les menaces qui ne sont pas encore apparues- en prenant les mesures proactives de cybersécurité de la vie privée au moment de la conception.

Comment les audits de cybersécurité peuvent-ils vous aider ?

Il y a quatre raisons principales pour lesquelles votre entreprise profitera des audits de cybersécurité.

  1. Ils apportent connaissance et validation. Les prestataires d’audit ont une grande expérience et proposent les meilleures pratiques pour renforcer les programmes de l’entreprise. Les auditeurs ont reçu une formation sur les nouvelles réglementations (comme le RGPD (GDPR)). Ils sont en mesure de s’assurer que les systèmes et les processus répondent aux normes réglementaires en vigueur. Les auditeurs peuvent également identifier les problèmes potentiels et suggérer des améliorations.
  2. Ils offrent des évaluations neutres et objectives des programmes. Des évaluations objectives donnent également un meilleur aperçu de l’attrait d’une entreprise pour les pirates informatiques.
  3. Les vérifications par des tiers peuvent être plus précises. Comme les auditeurs ne sont pas directement associés à l’entreprise, ils peuvent avoir une vision plus précise de l’ensemble de la structure organisationnelle, y compris BYOD et les appareils mobiles qui peuvent ne pas faire partie officiellement du flux de travail de l’organisation.
  4. Ils vous aident à valider vos politiques de confidentialité auprès de partenaires tiers potentiels. Et vice-versa.

Que recherche un audit de cybersécurité ?

L’évaluation de la cybersécurité nécessite des compétences techniques spécifiques. Les auditeurs doivent examiner les configurations de serveur, effectuer des tests d’intrusion et examiner les ensembles de règles de gestion des événements liés à la sécurité.  Ce ne sont pas tous les services informatiques qui disposent des compétences et des connaissances nécessaires pour s’acquitter de ces tâches.

De plus, il existe des règlements complexes en matière de protection des données et de protection de la vie privée, et votre organisation doit les respecter dans toutes les juridictions où elle exerce ses activités. Par exemple, le RGPD (GDPR), récemment adopté, exige que les atteintes à la protection des données concernant des données provenant de résidents de l’UE soient rendues publiques dans un délai de 72 heures. Votre entreprise reconnaîtra-t-elle qu’une telle intrusion s’est produite ? Dans quelle mesure votre entreprise assure-t-elle la sécurité des renseignements personnels identifiables (RPI) ? Votre entreprise recueille des données – sont-elles accessibles à vos partenaires, fournisseurs ou clients ? Vos contrats précisent-ils comment les fournisseurs et les distributeurs traiteront ces données ? Ces entreprises ont-elles mis en place des systèmes pour assurer la sécurité de vos données ?

Pourquoi les audits de cybersécurité sont-ils importants ?

Selon un rapport récent de PWC, 87 % des PDG mondiaux estiment qu’il est essentiel d’investir dans la cybersécurité pour gagner la confiance des clients. Pourtant, moins de la moitié des entreprises dans le monde réalisent des audits des tiers qui traitent les données personnelles qu’elles collectent. En d’autres termes, il y a 54 % de chances qu’une entreprise qui recueille des données personnelles ne soit pas certaine que ces données sont protégées de façon adéquate – même si leurs PDG ont fait part de l’importance d’une telle démarche.

Si une entreprise croit à la protection des données personnelles ou, à tout le moins, veut prévenir une intrusion coûteuse, elle doit faire preuve de diligence raisonnable lorsqu’elle choisit des fournisseurs tiers. C’est pourquoi il est si important d’effectuer des audits de cybersécurité. Une entreprise a besoin de savoir où et comment ses données sont stockées, car, en fin de compte, toute entreprise qui collecte des données personnelles est responsable en fin de compte de toute demande de protection des données – demandes qui sont transmises aux tierces parties.

Nous mettons en pratique ce que nous préconisons!

Chez Echoworx, nous nous consacrons au cryptage et travaillons chaque jour pour aider les entreprises à protéger leurs données sensibles en cours de transfert. Il est logique que nous investissions dans les niveaux les plus élevés de cybersécurité. C’est pourquoi l’ensemble de notre entreprise, du sommet à la base, est régulièrement examinée par des auditeurs indépendants afin d’assurer une protection des données de premier ordre – et nous sommes fiers de nos certifications SOC2 et Web Trust !

Découvrez nos qualifications en cybersécurité par vous-même !

Par Par Alex Loo, Vice-président des opérations, Echoworx

———

[1] http://www.isaca.org/Knowledge-Center/Research/Documents/Auditing-Cyber-Security_whp_eng_0217.pdf?regnum=463832

17 Sep 2018
What is a Chief Data Officer

Qu’est-ce qu’un CDO, directeur des données

Nous vivons dans une période de post-confidentialité.

Notre position peut être localisée grâce au GPS. Nos photos et trajets sont connus dans le monde entier, grâce à nos smartphones connectés à Internet. Nous affichons nos pensées et nos opinions les plus intimes sur les médias sociaux pour que tout le monde puisse les voir. Nous parcourons la publicité ciblée basée sur nos recherches sur Google et nos habitudes d’achat en ligne.

Tom Goodwin, responsable de l’innovation chez Zenith Media, affirme que nous nous réjouissons de cette perte de confidentialité parce que nous profitons des avantages qu’elle nous procure… jusqu’à ce qu’une entreprise ne protège plus nos données. [1] Alors, nous sommes mobilisés contre la violation de notre vie privée. C’est un cauchemar de relations publiques.

Chez Echoworx, nos propres recherches ont permis de trouver un autre casse-tête en matière de protection des données : la nature transformatrice des données personnelles après une violation. Les gens sont prêts à divulguer des données quantitatives, en supposant qu’elles sont protégées. Ces mêmes données présentent des caractéristiques qualitatives embarrassantes lorsqu’elles sont rendues publiques lors d’une brèche, ce qui entraîne une perte irrémédiable de la confiance du client.

Comment les entreprises doivent-elles gérer ces contradictions ? Comment les entreprises peuvent-elles offrir aux gens les avantages de l’ère post-vie privée sans leur donner le sentiment qu’ils ont abandonné quelque chose de précieux ?

Comment les entreprises peuvent-elles gagner la confiance nécessaire pour protéger en toute sécurité les données sensibles ?

L’une des solutions réside dans l’importance croissante du Chief Data Officer.

Émergence du Chief Data Officer

Le poste de Chief Data Officer est né pendant la crise financière de 2008-09. Par la suite, il y a eu un besoin évident d’une personne capable d’assurer la conformité aux exigences réglementaires accrues. Plus que jamais dans le secteur bancaire et financier, les données et leur communication aux régulateurs nécessitent un examen plus approfondi. Pendant des années, la plupart des entreprises n’avaient pensé aux données qu’après coup. Si les données existantes avaient été gérées efficacement à l’époque, nous aurions pu être avertis de la crise ou être en mesure de faire une reprise plus complète.

Au cours de la décennie qui a suivi, cependant, le rôle du CDO s’est élargi et a évolué à l’aube de l’ère des grandes données. Soudain, la valeur des données en tant qu’actif est devenue claire. Le CDO était nécessaire pour prendre en charge la gestion de sa valorisation.

En 2012, la société de conseil NewVantage Partners a lancé un sondage annuel auprès des cadres supérieurs du Fortune-1000. Cette première année, seulement 12 % des entreprises avaient un CDO. En 2018, ce chiffre était passé à 63,4 %. Cette tendance devrait se poursuivre. Selon certaines estimations, un directeur des données sera considéré comme un rôle « indispensable au fonctionnement » de 75 % des grandes entreprises dans les 3 à 5 prochaines années. Même le Pentagone a engagé son premier CDO !

Pourquoi vous avez besoin d’un Chief Data Officer

La valeur principale du CDO aujourd’hui est en tant que personne-ressource pour optimiser les grandes quantités de données générées par les entreprises d’aujourd’hui. Il ou elle peut en tirer de la valeur et encourager l’innovation autour de Big Data et de l’analyse. Le CDO est la force motrice des solutions technologiques, améliore la cybersécurité et augmente les revenus. Il ou elle s’efforce d’éliminer les silos de données et les redondances. Le changement technologique est géré de manière à limiter les coûts des « querelles de données » au sein d’une entreprise.

Le CDO planifie et exécute la stratégie d’entreprise autour des technologies émergentes telles que l’intelligence artificielle (IA), l’apprentissage machine et la chaîne de blocage. Le CDO représente également une solution agile aux évolutions rapides de la réglementation et de la confidentialité des données pour lesquelles la gestion traditionnelle n’est pas toujours adaptée. Tandis que la technologie évolue, le rôle du CDO évolue également.

Vie privée vs valeur dans un monde post-confidentialité

Les données sont une épée à double tranchant. Il a une valeur inestimable pour les entreprises. Elle exige également une gestion prudente de l’information qui leur est confiée et promet des responsabilités (financières et de réputation) en cas d’atteinte à la vie privée.

En intégrant toutes les données et les activités connexes dans le CDO, les organisations peuvent établir des systèmes pour s’assurer que toutes les données recueillies, stockées ou partagées au sein d’une organisation sont traitées de façon sécurisée, éthique et conforme aux lois et réglementations locales et internationales en vigueur. [2] Une bonne gestion des données et l’application rigoureuse de mesures de sécurité, comme le cryptage amélioré des données sensibles, peuvent contribuer à réduire les risques de l’entreprise. Ces politiques permettent également aux entreprises de maximiser la valeur des données qu’elles recueillent.

En cette ère post-protection de la vie privée, les entreprises qui interagissent avec les données sensibles de leurs clients doivent s’adapter si elles veulent réussir. S’ils se concentrent sur « mieux servir les gens » avec des demandes explicites d’autorisation, des options de consentement clairs, une sécurité et un cryptage rigoureux, ils peuvent construire un « partage de valeurs sur toute une vie » avec leurs clients. C’est le genre de transformation que le CDO peut apporter aux organisations. De cette façon, le CDO aide à franchir la ligne de démarcation entre la confidentialité et la protection de la vie privée dans un monde interconnecté.

Par Alex Loo | Vice-président des opérations, Echoworx

___________

1: https://www.thedrum.com/opinion/2018/07/17/tom-goodwin-making-the-most-post-privacy-world
2: https://aws.amazon.com/blogs/publicsector/the-rise-of-the-chief-data-officer-as-a-data-leader/

14 Sep 2018
Is your business vulnerable to cybersecurity threats?

Votre entreprise est-elle vulnérable aux menaces en matière de cybersécurité ?

En 2017, Deloitte a été classé pour la cinquième année consécutive meilleur consultant en cybersécurité dans le monde. Mais plus tard cette année-là, on a appris que Deloitte avait été victime d’un piratage continu qui avait duré près d’une année complète.[1]

Comment ce bouleversement dramatique a-t-il pu se produire en si peu de temps ?

Toute entreprise est vulnérable aux cyberattaques. Plus l’entreprise est grande, plus la cible est grande. Pour la majorité des entreprises, ce n’est qu’une question de temps.

Les pirates informatiques ont pour objectif de voler des données sensibles telles que les secrets d’entreprise, les données personnelles et la propriété intellectuelle. Les pirates informatiques lancent également des attaques de sabotage. Les dommages financiers causés à l’économie mondiale dépassent 575 milliards de dollars par an, soit plus que le PIB de nombreux pays.

À quel point votre entreprise est-elle vulnérable ?

Cybersécurité = vigilance permanente

Voici quelques vulnérabilités de cybersécurité à surveiller :

– Mauvaise configuration de la sécurité. C’est la faille la plus fréquente et la plus dangereuse parce qu’elle repose sur l’exploitation de quelques erreurs informatiques simples, comme l’exécution de logiciels périmés, l’utilisation de paramètres et de mots de passe par défaut en usine et l’utilisation de comptes par défaut.

  • Débordements de la mémoire tampon. Lorsqu’une application tente de mettre plus de données dans une mémoire tampon qu’elle ne peut en contenir, la mémoire tampon est saturée. Cela peut permettre à un attaquant d’écraser des blocs de mémoire pour altérer des données, faire planter des programmes ou installer un code malveillant. Ces attaques sont courantes et difficiles à découvrir, mais elles sont aussi plus difficiles à exploiter qu’une attaque de vulnérabilité par injection.
  • Exposition des données sensibles. Il désigne tout cas où un pirate informatique accède à des données sensibles, soit directement depuis un système, soit en transit entre un utilisateur et un serveur. La faille la plus directe qui peut être exploitée est l’absence de cryptage, ou le cryptage qui est compromis par des mots de passe faibles ou l’absence d’authentification multifactorielle. Toute organisation qui gère des données sensibles peut être vulnérable à ce type d’attaque.
  • Authentification brisée et gestion des sessions. Les comptes, mots de passe, ou ID de session exposés peuvent représenter des fuites ou des failles dans les procédures d’authentification. Les pirates les utilisent pour s’approprier des comptes et usurper l’identité d’utilisateurs légitimes.
  • Une infrastructure ou un logiciel de sécurité désuet. Les équipements les plus anciens ne supportent pas facilement les applications modernes et ne sont pas facilement protégés contre les menaces les plus courantes.

 

Le plus récent rapport sur le niveau de violation montre qu’en moyenne plus de sept millions de disques ont été perdus ou volés chaque jour en 2017 – ce qui représente 82 enregistrements par seconde! Et parmi ces centaines de millions d’incidents de cybersécurité, seuls 4% sont considérés comme des «violations sécurisées», ce qui signifie que les données volées étaient protégées par un cryptage. Plus du quart de ces violations se sont produites dans le secteur de la santé.

La nouvelle forme de cyberattaque est le piratage cryptographique. Aussi connu sous le nom d’extraction de pièces de monnaie, il s’agit de l’utilisation non autorisée d’ordinateurs pour miner de la cryptomonnaie. Les pirates installent du code sur un ordinateur cible à l’aide de liens malveillants dans des courriels ou des sites Web infectés. Symantec rapporte que l’activité du minage de cryptomonnaie a augmenté de 34 000 % en 2017 et que la détection des mineurs de cryptomonnaie a augmenté de 8 500 %. Fin 2017, l’activité de minage de cryptomonnaie a également été détectée sur les appareils mobiles, et elle augmentera probablement dans cet environnement également.

Défendre votre entreprise

Bien qu’aucun système ne soit à 100 % exempt d’attaques, un cryptage fort est un outil de défense efficace contre le piratage.

Gardez ces conseils à l’esprit :

  • Crypter toutes les informations sensibles qui pourraient être accessibles par des pirates ou des cybercriminels.
  • Conservez vos informations d’identification confidentielles et sécurisez-les avec des mots de passe.
  • Utilisez l’authentification multifactorielle dans la mesure du possible.
  • Pratiquez le hachage de mots de passe forts.

Nous utilisons le Cloud. C’est sûr, non ?

Le système Cloud ne vous met pas à l’abri des risques. Comme le souligne Sandra Liepkalns, RSSI chez LoyaltyOne, les données doivent toujours être stockées physiquement, et « le Cloud » signifie simplement que vous utilisez des serveurs hors site. Savez-vous où sont ces serveurs ? Si vos serveurs se trouvent aux États-Unis, ont-ils les autorisations nécessaires pour traiter les informations protégées par GDPR en provenance d’Europe ? Et les menaces physiques ? Les serveurs sont-ils situés dans des zones sujettes aux inondations ou aux incendies de forêt ? Et les ouragans ? Ou des tremblements de terre ?

En fin de compte, chaque entreprise est responsable de la protection des données des clients. Après tout, la question n’est pas de savoir si votre organisation sera piratée, mais quand elle le sera. Ne vous laissez pas prendre au dépourvu ! Minimisez les risques et intégrez la sécurité à tous vos systèmes et processus

Par Randy Yu, directeur du déploiement chez Echoworx

———–

[1] https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails

16 Juil 2018
Loi de la Californie sur la protection des données

Le California Data Privacy Law, AB 375: C’est une affaire personnelle.

La semaine dernière, la Californie a adopté l’une des lois les plus avancées en matière de protection de la vie privée aux États-Unis, la California Consumer Privacy Act de 2018. Il est salué comme un grand pas en avant avec des comparaisons telles que «GDPR comes to America» (le RGPD arrive en Amérique) ainsi que d’autres titres de ce genre.

Après examen, la loi californienne comprend plusieurs défis, notamment le fait qu’elle ne devrait pas entrer en vigueur avant 2020, et les nombreuses grandes entreprises de technologie qui se sont déjà préparées à essayer d’amener les législateurs à modifier les dispositions de la loi.

Ce qu’il y a dans la loi

La loi instaure quelques nouveaux droits pour les résidents californiens et, comme le GDPR en Europe, s’applique à toute entreprise qui vend ou possède des données personnelles sur les résidents californiens.

Ces nouveaux droits sont les suivants:

1. Le droit des Californiens de savoir quelles sont les informations personnelles collectées à leur sujet.
2. Le droit des Californiens de savoir si leurs renseignements personnels sont vendus ou communiqués et à qui.
3. Le droit des Californiens de dire non à la vente de renseignements personnels.
4. Le droit des Californiens d’accéder à leurs informations personnelles.
5. Le droit des Californiens à un service et à un prix équivalent, même s’ils exercent leur droit à la confidentialité.

En bref, cela donne aux Californiens un moyen de se désengager de presque toutes les utilisations secondaires de leurs données, qu’il s’agisse de vente agrégée à des courtiers en données, de suivi ou d’autres utilisations non directement liées à la fourniture d’un service.

Ce que la loi ne prévoit pas

Bien que la loi prévoie des pénalités pour les infractions résultant d’une protection insuffisante de l’information, cette loi en elle-même ne contient aucune exigence quant à la façon dont les entreprises doivent protéger l’information, ou le texte qui guide un tribunal dans son analyse pour déterminer si la protection était satisfaisante.

Les répercussions sur le marché

Contrairement au Règlement Général Européen sur la Protection des Données, le California Consumer Privacy Act de 2018 ne contient pas d’exigences spécifiques que les entreprises doivent suivre pour garantir la sécurité des opérations de traitement. La Loi précise comment les entreprises doivent obtenir le consentement pour la collecte et l’utilisation des renseignements, et qu’elles ne peuvent pas faire preuve de discrimination à l’égard des consommateurs pour avoir exercé leurs droits.

Le California Consumer Privacy Act s’appuie fortement sur d’autres lois californiennes et fédérales pour fournir des conseils dans ces domaines. Il existe un certain nombre de conflits avec ces autres lois et domaines qui auraient probablement besoin d’être clarifiés par le biais d’orientations réglementaires ou de modifications éventuelles de la loi.

De plus, il y a encore un certain nombre de questions sur la façon dont la Loi pourrait être modifiée sous la pression des entreprises de technologie et des défenseurs de la protection de la vie privée, et sur les règlements qui pourraient être publiés à l’appui de la loi.

Dans l’ensemble, la véritable nature des obligations d’une entreprise ne sera pas connue avant un certain temps.

Une solution logique

Le cryptage des données de nature sensible est essentiel pour démontrer que l’information a été adéquatement protégée en vertu d’un règlement ou d’une loi sur la protection de la vie privée.

Echoworx s’engage à respecter les exigences légales et de protection de la vie privée dans les pays dans lesquels elle opère. Echoworx continue d’ajouter des centres de données dans le monde entier pour s’assurer que les données sont conservées aussi près que possible du pays ou de la région d’origine. Nous opérons actuellement des centres de données aux États-Unis, au Royaume-Uni, en Irlande, au Mexique et au Canada pour nous assurer que les données peuvent être stockées et conservées conformément à la réglementation et à la législation auxquelles nos clients sont soumis.

Le rôle de la sécurité de l’information change certainement. Joignez-vous à moi et mes collègues pour une discussion en direct, jeudi le 26 juillet, sur la façon dont cette loi et d’autres nouvelles règles de confidentialité des données aura une incidence sur les entreprises à l’échelle mondiale. A Perfect Union: Privacy, Security and What you need to know about both | 10 AM ET

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx

12 Juin 2018
femme choquée

UN DÉSORDRE IMPORTANT: LE CRYPTAGE, LES RENCONTRES ET L’AMÉLIORATION DE LA PROTECTION DE LA VIE PRIVÉE

Vous sentez-vous à l’aise d’envoyer des renseignements personnels par courriel sans chiffrement? Sentez-vous timide en répondant « oui? » Vous n’êtes pas seul. En fait, près de 50 % des gens choisissent de partager des renseignements personnels de nature délicate en ligne. Et notre confiance envers les personnes et les entreprises auxquelles nous les envoyons est souvent considérée comme tout à fait normale.

Vous pourriez être surpris d’apprendre jusqu’à quel point vos clients sont réellement exposés.

Dans une récente enquête menée par Echoworx auprès des professionnels et des décideurs du secteur informatique, une tendance claire de l’importance accordée au chiffrement a émergé, 75 % des personnes interrogées ayant répondu  » oui  » à la question de savoir si leur entreprise dispose d’une stratégie de cryptage. Mais, comme moins de la moitié des personnes interrogées ont répondu par l’affirmative que leur organisation utilise effectivement le cryptage à grande échelle, l’application réelle du cryptage est discutable.

En d’autres termes: Que les renseignements personnels que vos clients fournissent à toute une équipe hétéroclite de banques, de professionnels de la santé et d’organismes gouvernementaux? Il y a une chance que leurs destinataires, qui pourraient même être votre propre personnel, le stockent librement, de façon accessible et sans aucune sécurité sur leurs serveurs.

Barriers that are Preventing More Extensive Use of EncryptionChoquant, n’est-ce pas?

Pour mieux comprendre le revers de la médaille, nous avons posé des questions aux consommateurs sur leur volonté de fournir des renseignements personnels sous forme numérique et lors des premières rencontres. Les résultats ont été surprenants – les personnes interrogées étaient plus que disposées à fournir des renseignements personnels, de leur nom complet à leur numéro d’assurance sociale dans les deux cas.

Encryption is hot infographCe que les résultats de notre Enquête sur le chiffrement révèlent
sur notre point de vue sur la confidentialité des données. En savoir plus.

Et, Alors?

Lorsqu’ils sont réunis, il nous reste deux récits qui racontent l’histoire de deux villes. Et c’est désordonné, mais pas aussi énigmatique que cela en a l’air. Il semble plutôt y avoir un décalage entre notre volonté d’adopter le cryptage et sa mise en pratique dans nos activités professionnelles.

Plus de la moitié des professionnels du secteur des technologies de l’information interrogées, notamment, ont répondu favorablement à l’adoption du cryptage – soulignant que la technologie de protection de la vie privée est très importante ou primordiale pour leur entreprise. Et près des trois quarts de ce groupe ont indiqué qu’ils élaboraient activement des stratégies de cryptage. Cela semble une progression?

Et ensuite, le constat s’impose: seulement la moitié d’entre eux sont là pour l’amélioration de la protection des renseignements personnels. L’autre moitié, soit près de 50 %, admettent qu’ils préconisent le cryptage pour se conformer aux règlements sur la protection de la vie privée et éviter les intrusions qui sont très coûteuses – non pas parce qu’ils se préoccupent de la sécurité des données sensibles des clients.

Le manque d’enthousiasme pour les applications de cryptage se retrouve dans l’ensemble de leurs entreprises – seulement 40 % d’entre elles utilisent intensivement leur technologie de cryptage existante. Et le domaine dans lequel ils mettent l’accent sur le cryptage, dans les communications externes, ne semble pas suffisant étant donné que de nombreuses entreprises migrent désormais leurs serveurs de messagerie vers le Cloud – ce qui rend même les communications internes externes par nature.

Et pourtant, les clients continuent de vous faire confiance sans cryptage

Alors que les trois quarts des clients savent ce que signifie le cryptage et pourquoi il existe, 45 pour cent d’entre eux continuent d’envoyer des données personnelles par courrier électronique en clair – et ils font confiance aux personnes auxquelles ils les envoient. Prenons par exemple la sécurité d’un courriel. Malgré l’augmentation de harponnage et d’autres types d’attaques par courriel visant à exploiter des données personnelles, la personne moyenne évalue la sécurité d’un courriel en moins de 30 secondes.

Donneriez-vous vos données personnelles à quelqu’un dans la rue en moins de 30 secondes? Cela semble insensé, mais d’après les résultats de l’enquête, une personne moyenne pourrait le faire. Saviez-vous, par exemple, que près du quart des gens sont susceptibles de partager leur date de naissance réelle, leur adresse de courriel, leur nom complet et leur numéro de téléphone le premier jour ? Et ces chiffres préoccupants sont encore plus importants chez les hommes – 12 % d’entre eux sont tout aussi susceptibles de divulguer leur numéro de carte d’assurance sociale lors d’une première rencontre ainsi que de se vanter au sujet de leur salaire.

Et cela ne s’arrête pas là.

Lorsqu’il s’agit de formulaires en ligne, plus des trois quarts de vos clients reconnaissent qu’ils fournissent des renseignements personnels de nature délicate. Et, considérant qu’ils prennent une demi-minute pour examiner la sécurité d’un formulaire en ligne, la quantité de détails qu’ils fournissent est stupéfiante.

Saviez-vous, par exemple, que plus de 10 % de vos clients sont disposés à fournir leur code PIN bancaire au moyen d’un formulaire en ligne ? Ou que 34 % d’entre eux ont donné leur numéro de carte d’assurance sociale ? Et qu’un petit, mais plus confiant, 5 % dévoilent volontairement leur numéro de passeport lorsqu’on leur demande de remplir des formulaires anonymes?

Mais, en fin de compte, pourquoi cela a-t-il de l’importance pour votre entreprise?

Les atteintes à la protection des données constituent des dégâts coûteux à réparer et elles se produisent plus souvent qu’on ne le pense – près d’un quart des gens admettant que leurs renseignements personnels ont été volés. En plus des amendes massives qui peuvent atteindre des dizaines de millions de dollars et des recours collectifs prolongés, une infraction très médiatisée peut causer des dommages irréparables pour la confiance accordée à votre marque.

En fournissant à vos clients et employés une solution de cryptage concise, mais complexe et hautement performante, vous pouvez contribuer à réduire certains problèmes de confidentialité au sein de votre entreprise, en particulier pour les téléphones mobiles. Les nouvelles plateformes de cryptage s’intègrent facilement aux systèmes informatiques existants et offrent de multiples méthodes flexibles de protection des informations en cours de transfert.

En résumé, le cryptage est important, et les professionnels de l’informatique en sont conscients – même si leurs motivations se situent principalement dans une optique de mise en conformité. Mais l’application du cryptage dans l’ensemble de votre entreprise est un tout autre problème et repose sur la simplification de votre processus de protection de la vie privée et la réduction des contraintes pour les utilisateurs. Mais les bénéfices de la préparation à la protection de la vie privée sont énormes – et vos efforts seront remarquables.

Consultez quelques-unes des façons créatives dont les entreprises utilisent notre plateforme de cryptage Echoworx OneWorld pour aider à assurer le transfert sécurisé de toutes les opérations, de la distribution massive de millions de relevés électroniques aux documents d’intégration sensibles pour les nouveaux clients. Les applications de cryptage proactives sont illimitées et peuvent être automatisées quand le comportement de vos employés ne peut pas l’être.

Par Nicholas Sawarna, spécialiste principal du marketing de contenu, Echoworx.

 

17 Avr 2018

Echoworx Ajoute La Distribution Sécurisée Des Documents En Masse, Redynamisant Les Processus Commerciaux Sensibles

CONFERENCE RSA– SAN FRANCISCO, CALIFORNIE – Les entreprises et les institutions du monde entier adoptent la plate-forme de chiffrement OneWorld d’Echoworx pour garantir la protection de leurs données importantes. Et maintenant, en activant la fonctionnalité Secure Bulk Mail (SBM), Courriel de Masse Sécurisé de OneWorld, les entreprises peuvent redynamiser leurs opérations commerciales tout en sachant que leurs communications sont sécurisées. 

 

Selon Michael Ginsberg, PDG d’Echoworx, le cryptage fait désormais partie du processus opérationnel normal pour prévenir les violations de données et les cyberattaques, et son utilisation pour automatiser les processus a été une évolution naturelle. OneWorld fournit aux entreprises du monde entier une solution de chiffrement unique, flexible et facile à utiliser qui peut être intégrée dans leur infrastructure existante. 

« Au cours des cinq dernières années, le cryptage est devenu grand public et, en raison de son utilisation accrue, il est passé d’un processus individuel et manuel à un processus commercial utilisé quotidiennement », explique Ginsberg. « Nous disposons désormais des outils nécessaires pour permettre à une institution ou à une entreprise d’automatiser la distribution en masse et sécurisée de documents en générant des e-mails personnalisés et en exploitant la multitude de méthodes de cryptage et de reporting de OneWorld, réduisant ainsi les charges des institutions. 

 

Les organisations utilisant la plate-forme de chiffrement avancée Echoworx bénéficient des avantages tels que pouvoir communiquer rapidement et en toute sécurité avec leurs clients et partenaires. La plate-forme offre aux grandes institutions, telles que celles du secteur financier, des moyens nouveaux et améliorés pour atteindre et fidéliser leurs clients et accroître leurs parts de marché en offrant des services sécurisés tel que les relevés électroniques. Les documents tels que les états financiers et les dossiers médicaux étaient envoyés par la poste ou par télécopie, mais la fonction SBM de OneWorld facilite un système sans papier, éliminant le coût et la gestion des transactions sur papier et améliorant l’expérience client. 

 

« Le passage du courrier papier au courrier électronique est facile à adopter pour n’importe quelle institution », déclare Ginsberg. « La plupart des consommateurs préfèrent recevoir leurs factures par courrier électronique, mais les informations sensibles doivent rester privées, vous avez donc besoin d’un cryptage. À la demande de nos clients, qui nous ont demandé d’aller plus loin en touchant le domaine de l’envoi de courriel en masse, nous avons ajouté une fonctionnalité d’envoi de courriel sécurisée en masse. » 

 

Alors que d’autres services limitent l’envoi de documents cryptés, les organisations utilisant SBM d’Echoworx bénéficient de toutes les options et avantages de la plate-forme de cryptage OneWorld tels que des méthodes de cryptage multiples pour assurer une communication transparente à divers destinataires, notamment le cryptage TLS, S / MIME ou PGP, PDF sécurisé (message complet), PDF sécurisé avec fichiers Zip sécurisés et Portail Web chiffré. 

  

En utilisant les services du cloud, Echoworx n’est pas limité par des ressources physiques ou une maintenance intensive de l’infrastructure informatique. Leur plate-forme de cryptage leader de l’industrie peut être opérationnelle dans n’importe quelle juridiction en peu de temps, à un coût économique. Pour savoir comment Echoworx est en train de devenir un leader mondial dans le domaine de la sécurité du courrier électronique, arrêtez-vous au Stand 2019 à la conférence RSA du 16 au 20 avril au Moscone Center de San Francisco, en Californie. 

 

—- 

À propos d’Echoworx 

Echoworx est un moyen fiable pour sécuriser les communications. En tant que fournisseur de solutions de cryptage pure-playEchoworx travaille avec des professionnels de la finance, du gouvernement, de la santé, du droit et des experts en conformité pour concevoir des solutions de communication sécurisées qui ne nuisent pas à l’expérience client. Notre plate-forme de chiffrement évolutive, OneWorld, peut servir à de multiples usages à travers une organisation. Nos experts de cryptage sont fiers de transformer le chaos en ordre pour de grandes entreprises multinationales utilisant notre plate-forme de chiffrement SaaS. 

 
Contact pour les médias 

Lorena Magee, VP Marketing 
media@echoworx.com 
416 226-8600 

14 Avr 2018
Echoworx | Email Encryption Solutions | Travailler dans le Cloud: Comment sécuriser l'échange de fichiers volumineux

Travailler dans le Cloud: Comment sécuriser l’échange de fichiers volumineux

Échanger des fichiers – cela semble si facile. Mais si vous regardez la multitude d’activités d’échange de fichiers actuellement dans une entreprise typique, vous commencerez à comprendre le défi.

Tout d’abord, il y a la taille.

Les configurations de messagerie classiques limitent la taille des pièces jointes à 20 Mo ou moins, ce qui n’est pas réaliste par rapport à la taille réelle des fichiers envoyés actuellement. Par le passé, échanger des fichiers de 20 Mo était rare. Aujourd’hui, nos clients envoient régulièrement des fichiers de plus de 100 Mo à des destinataires se trouvant partout dans le monde.

Cela conduit à un autre problème – la performance. Le courrier électronique n’a jamais été conçu pour gérer des fichiers extrêmement volumineux, ce qui entraîne souvent des problèmes de performances de livraison et de réseau. Nous avons tous connu cela. Vous envoyez un message avec une pièce jointe volumineuse et vous recevez un message des heures, peut-être même quelques jours plus tard, vous disant que le message n’a pas été envoyé. Aujourd’hui, la plupart des politiques d’entreprise vous empêchent même de joindre des fichiers d’une certaine taille au moment de l’envoi.

Nous diriger vers la sécurité.

Le partage de fichiers via FTP est trop « technique » et difficile à utiliser pour la plupart des clients et pas du tout dans les scénarios B2C – c’est aussi un processus manuel.

Toute demande d’activation d’un compte FTP nécessite la configuration de règles de pare-feu pour autoriser les téléchargements de fichiers, ainsi que l’examen et l’approbation de la sécurité.

En outre, ils manquent de processus automatisés comme les avis de vérification. Demandez aux opérations d’ouvrir seulement quelques ports comme le FTP pour autoriser les transferts de fichiers – voyez combien sont approuvés rapidement?

Selon un récent rapport de Verizon, 58% des violations de données PHI relatives aux soins de santé ont été causées par des initiés – 29,5% provenant d’une mauvaise utilisation.

Aller vers, oui, des services de partage de fichiers non pris en charge. Ces solutions ont été adoptées dans des entreprises de toutes tailles. Ne vous méprenez pas, vos utilisateurs suivront toujours le chemin de moindre résistance. C’est un dilemme classique – un employé, sans options de partage de fichiers ou d’e-mails non envoyés, se tourne vers des solutions extérieures, quelque part, afin de pouvoir partager efficacement des fichiers.

Mais le point de basculement pour la plupart c’est les vérifications. L’évolution des réglementations mondiales – comme RGPD, Dodd-Frank Act – obligent les institutions financières à garder des rapports sur qui a accédé aux fichiers et quand.

En profitant des capacités étendues du portail de fichiers de notre plate-forme de chiffrement, les entreprises ont un contrôle total sur les gros fichiers qu’elles veulent partager.

Les employés se connectent simplement sur le portail webmail sécurisé où ils attachent un ou plusieurs gros fichiers avec une note accompagnatrice. Les fichiers sont ensuite chiffrés dans le portail et un message de notification est envoyé au destinataire, y compris un lien vers le portail avec une fonction complète de vérification et de rappel, permettant aux utilisateurs de partager facilement les politiques de gouvernance d’entreprise.

Vous pouvez voir comment cela fonctionne en regardant cette courte démonstration video.

Par Christian Peel, vice-président ingénierie clients, Echoworx